Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.Perusturva mittaa ja julkaisee kaikki verkkoturvallisuuteen liittyvät toimenpiteet, joiden julkaiseminen on vastuullista, lisätietoja tästä on julkaisukäytännössä. Käytämme myös käytännesääntöihimme sisältyviä näkökohtia määritellessämme, mitkä mittaukset lisätään.
Tässä artikkelissa luetellaan, mitkä mittaukset tehdään minkäkin tekniikan avulla. Täydellinen luettelo näistä mittauksista viitteineen on otsikon ”yleiskatsaus kaikkiin mittauksiin” alla.
Tämä mittauspolitiikka kehittyy jatkuvasti ja vastaa uuteen kehitykseen. Tähän mittauspolitiikkaan on olemassa joitakin poikkeuksia, jotka on kuvattu mittauspolitiikan poikkeuksissa.
Lue vastuuvapauslausekkeemme ennen mittaustietojen käyttöä. Jos sinulla on kysyttävää, ota yhteyttä info@internetcleanup.foundation.
Tässä artikkelissa todetaan:
- Tiedot mittausten ajantasaisuudesta
- Miten mittauksia arvostetaan ajan mittaan tiukemmin (etenemissuunnitelma).
- Yleiskatsaus kaikkiin yksittäisiin mittauksiin
- Sisältää linkkejä dokumentaatioon ja testityökaluihin
Mittausten ajantasaisuus
Mittauksia tehdään päivittäin tai viikoittain, mikä riippuu mittausten monimutkaisuudesta ja intensiteetistä. Yksittäinen inventaariomittaus tehdään kerran kuudessa kuukaudessa, koska se on meluisa, toistomittaus tehdään kerran viikossa.
Mittaustiheyden vuoksi raporttien tiedot eivät yleensä ole viikkoa vanhempia. Jos se on, jotain erityistä on tekeillä. Työskentelemme edelleen toiminnallisuuden parissa, jotta yli kaksi kuukautta vanhat mittaukset eivät koskaan näkyisi raporteissa, ja lyhentäisimme tämän keston korkeintaan yhteen kuukauteen.
Yksityiskohtaisesta raportista näet aina, kuinka vanha mittaus on. Se näkyy kunkin mittauksen alareunassa. Alla olevassa esimerkissä näet siis, että mittaus on ollut sama jo 22 päivää ja että viimeinen mittaus tehtiin 1 päivä sitten.
Lisäksi jokaisessa kartassa näkyy kartan tietojen laatu. Kyseisestä yleiskatsauksesta käy ilmi, mitä mittauksia on tehty ja kuinka moni niistä on ajan tasalla / vanhentunut. Tässä yleiskatsauksessa yli 7 päivää vanhoja mittauksia pidetään vanhentuneina. Tämä näkyy myös alla olevassa esimerkissä.
Tietojen laatu on kartan vasemmassa yläkulmassa olevan luetelmakohdan alla. Tämä pallo värjäytyy laadun mukaan. Jos se on oranssi tai punainen, jokin on vialla. Yleensä se on vihreä piste. Jos kaikki on ajan tasalla, tässä on sateenkaari.
Tiukentavien mittausten etenemissuunnitelma
Ajan mittaan valvontaa tiukennetaan. Esimerkiksi jotkin havainnot ovat tällä hetkellä vihreitä tai oransseja, mutta muuttuvat tulevaisuudessa punaisiksi.
Uusi lukema esitellään usein oranssina tai vihreänä, jotta ihmiset voivat tottua siihen ja toimia ennen kuin se muuttuu punaiseksi.
Tätä koskeva etenemissuunnitelma on edelleen hajanainen eikä sitä ole vahvistettu. Kun yksittäisiä mittauksia otetaan käyttöön, siitä usein mainitaan. Näitä tietoja kerätään edelleen.
Yleiskatsaus kaikkiin mittauksiin
Tässä on yleiskatsaus kaikkiin mittauksiin, arviointeihin, dokumentointiin ja työkaluihin, joilla voit mitata itseäsi. Kun kaikkia näitä sovelletaan oikein, organisaatio saa vihreää kartalle.
Jos organisaatio seuraa verkkopalvelujaan ja minimoi ne, ei ole kovin vaikeaa päästä oranssiin tai jopa vihreään tilaan.
Suojattu verkkotunnus (DNSSEC)
- Tarkoitus: antaa varmuus verkkotunnuksesta ja sivuston sisällöstä.
- Raskain luokitus: Punainen
- Mitattu: dnssec.pl-työkalulla
- Dokumentaatio: internet.co.uk, OpenCRE, Wikipedia.
- Tarkistettavissa: internet.co.uk, verisign labs, DNS Visualizer.
Meer documentatie
# level: url
dnssecTLS verkkosivuilla (HTTPS)
- Tavoite: Sovelletaan salausta: että verkkosivustolla vierailu on luottamuksellinen ja eheä. Tarkista, että luottamus on kunnossa ja että salauksessa ei ole haavoittuvuuksia.
- Raskain luokitus:Punainen
- Mitattu: Qualys SSL Labs
- Dokumentaatio: Wikipediassa, Digitaalihallintolaki: TLS-asetukset, Wikipedia, Digital Government Act
- Mitattava: SSL Labs
Meer documentatie
# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trustedSivusto ilman salausta (HTTPS)
- Käyttötarkoitus: Salaus, sama kuin TLS verkkosivustolla.
- Raskain luokitus:Punainen
- Mitattu: Omalla skannerilla
- Dokumentaatio: Wikipediassa, Digitaalihallintolaki: TLS-asetukset, Wikipedia, Digital Government Act
- Mitattava: SSL Labs, internet.co.uk
Meer documentatie
# level: endpoint
plain_httpTiedostonsiirto (FTP)
- Tarkoitus: salauksen soveltaminen
- Raskain luokitus:Punainen
- Mitattu: Omalla skannerilla
- Dokumentaatio: Wikipedia
- Tarkistettavissa esimerkiksi osoitteessa: ftptest.net.
Meer documentatie
# level: endpoint
ftpOhjelmiston versiotiedot (bannerit)
- Tavoite: versiotietojen poistaminen, koska niistä on hyötyä vain hyökkääjille.
- Raskain luokitus:Punainen
- Mitattu: nmap
- Dokumentaatio: Wikipedia, nmap
- Tarkista: ipvoid
Meer documentatie
# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)Sähköpostin turvallisuus (STARTTLS, DMARC, DKIM, SPF).
- Tarkoitus: Sähköpostin eheyden ja luottamuksellisuuden varmistaminen.
- Raskain luokitus:Punainen
- Mitannut: internet.co.uk
- Dokumentaatio: Wikipedia (STARTTLS), Wikipedia (DKIM), Wikipedia (DMARC), Wikipedia (SPF).
- Tarkistettavissa muun muassa osoitteissa: internet.co.uk, dmarcian, mxtoolbox, jne.
Meer documentatie
# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)Kirjautumisportaalit
- Tarkoitus: Ei tarjota pienelle ihmisryhmälle tarkoitettuja yleisiä ja julkisia toimintoja, varsinkaan ylläpitäjätoimintojen suojaamista.
- Raskain luokitus: Punainen
- Mitattu: Ytimet
- Dokumentaatio: Wikipedia
- Mitataan o.a.: tarkista löydösten linkit. Onko täällä kirjautumisportaali? Silloin havainto on edelleen voimassa. Nämä portaalit ovat erityisellä sivulla nimeltä Login Plaza.
Meer documentatie
# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.Seurantaeväste ilman suostumusta
- Tarkoitus: Seurantaevästeiden asettaminen ilman lupaa on kielletty. Tekemällä tästä läpinäkyvää, verkkosivuston rakentajat voivat poistaa nämä evästeet.
- Raskain luokitus: oranssi, Punainen tammikuusta 2024 alkaen.
- Mitattu: Näytelmäkirjailija
- Dokumentaatio: tbd
- Mitattava: tbd
Yleiskatsaus mitattu seuranta keksit
Mittaamme jäljitettäviä keksejä alla. Nämä ovat seuraajakeksejä, jotka toimittaja ilmoittaa sijoitetun markkinointitarkoituksiin. Marraskuun 2023 tutkimuksemme mukaan nämä keksit ovat ylivoimaisesti yleisimpiä keksejä.
| Keksi | Toimittaja | Dokumentaatio toimittajan mukaan |
| _fbp | ClickID | |
| _gcl_aw | Google-mainokset | Safety.Google |
| __gpi | Google-mainokset | Safety.Google |
| _gcl_au | Google-mainokset | Safety.Google |
| NID | Google-mainokset | Safety.Google |
| IDE | Google-mainokset | Safety.Google |
| VISITOR_INFO1_LIVE | Google YouTube | Safety.Google |
| li_sugr | Evästetaulukko | |
| UserMatchHistory | Evästetaulukko | |
| _ttp | TikTok | Evästekäytäntö |
Meer documentatie
# level: endpoint
web_privacy_cookie_products_no_consentInternetosoitteen omistaja (WHOIS)
- Tarkoitus: saada verkkotunnuksen hallinto kuntoon. Ulkopuolinen voi tarkistaa, että sivusto kuuluu oikealle organisaatiolle SIDN:ssä.
- Raskain luokitus: Oranssi
- Mitattu: Omalla skannerilla
- Dokumentaatio: SIDN, Wikipedia, OpenCRE
- Tarkistettavissa: SIDN
Meer documentatie
# level: url
whois_domain_ownershipNCSC-NL:n vaatimusten mukainen suojattu yhteys (TLS).
- Tarkoitus: salauksen soveltaminen, oikeudellisten vaatimusten mittaaminen.
- Raskain luokitus:Oranssi
- Mitannut: internet.co.uk
- Dokumentaatio: Laki, Lain tulkinta, Tekniset vaatimukset.
- Mitataan esimerkiksi osoitteessa internet.co.uk.
Meer documentatie
# level: endpoint
internet_nl_web_tlsTurvallisuus.txt
- Tarkoitus: Mahdollisuus saada ilmoituksia vakavista online-haavoittuvuuksista.
- Raskain luokitus:Oranssi
- Mitannut: internet.co.uk
- Dokumentaatio: internet.co.uk, Wikipedia, securitytxt.org
- Mitataan esimerkiksi osoitteessa internet.co.uk.
Meer documentatie
# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxtInternet-liikenteen luotettava reititys (RPKI)
- Tavoite: Varmistaa, että Internet-liikenne kulkee oikeaa reittiä.
- Raskain luokitus:Oranssi
- Mitannut: internet.co.uk
- Dokumentaatio: Wikipedia
- Tarkistettavissa osoitteessa: internet.co.uk, ripe
Meer documentatie
# level: endpoint
internet_nl_web_rpki_existsHSTS-otsikko
- Tarkoitus: Salauksen käyttöönotto verkkosivustoilla niin kauan kuin selaimet eivät sitä tee.
- Raskain luokitus:Oranssi
- Mitattu: Omalla skannerilla
- Dokumentaatio: MDN, Wikipedia, Digital Government Act
- Tarkistettavissa muun muassa osoitteissa: securityheaders.com, internet.co.uk.
- Huomaa, että includesubdomains ja preload jätetään huomiotta, jos preloadia ei päivitetä ja kävijä päätyy aliverkkotunnukseen, jossa ei ole HSTS-otsikkoa.
Meer documentatie
# level: endpoint
http_security_header_strict_transport_securityVerkkosivustolla vierailu kunnioittaa yksityisyyttä
- Tarkoitus: vierailun luottamuksellisuus, ettei sinulle osoiteta mainoksia vierailun jälkeen.
- Raskain luokitus:Oranssi
- Mitattu: Omalla skannerilla
- Dokumentaatio: disconnect.me, Google Analytics -kielto: Tietosuojasta tietoisten sivustojen rakentaminen, Disconnect.me, Google Analytics -kielto.
- Mitattava: Privacycore.org
Meer documentatie
# level: endpoint
web_privacy_third_party_requests
web_privacy_trackingYlimääräiset palvelut (avoimet portit)
- Tavoite: Minimoidaan verkkopalvelut. Julkisen internetin on sisällettävä vain sellaisia palveluja, joiden on oltava kaikkien saatavilla maailmanlaajuisesti.
- Raskain luokitus:Oranssi
- Mitattu: Nmap
- Dokumentaatio: Wikipedia (avoimet portit)
- Tarkista: ipvoid
Meer documentatie
# level: endpoint
portsSTARTTLS Läsnäolo (sähköposti)
- Tarkoitus: mahdollisuus lähettää salattua sähköpostia sähköpostipalvelimelle lähettäjänä.
- Raskain luokitus:Oranssi
- Mitannut: internet.co.uk
- Dokumentaatio: internet.co.uk
- Mitataan esimerkiksi osoitteessa internet.co.uk.
Meer documentatie
# level: endpoint
internet_nl_mail_starttls_tls_availableSähköpostin salaus NCSC:n vaatimusten mukaisesti
- Tarkoitus: mahdollisuus lähettää salattua sähköpostia sähköpostipalvelimelle lähettäjänä.
- Raskain luokitus:Oranssi
- Mitannut: internet.co.uk
- Dokumentaatio: internet.co.uk
- Mitataan esimerkiksi osoitteessa internet.co.uk.
Meer documentatie
# level: endpoint
internet_nl_mail_dashboard_tlsPalvelimen sijainti (IP-paikannus)
- Tarkoitus: Tietojen käsittely NL/EU:ssa, oikeudelliset vaatimukset. Varmistetaan, että kaikki palvelut ovat omalla (laillisella) alueellaan.
- Raskain luokitus:Vihreä (esittelyjakson aikana),Oranssi lokakuun 2023 jälkeen
- Mitattu: Maxmind, Ripe (joitakin korjauksia varten).
- Dokumentaatio: EU:n ulkopuolella tapahtuvan tietojenkäsittelyn kieltävä laki (Matomo)
- Tarkistettavissa: iplocation.io (kaikilla näillä sivustoilla ei ole samaa paikkatietokantaa).
Meer documentatie
# level: url
location_server
location_mail_server
location_third_party_website_contentMuut verkkosivuston otsikot (X-Frame-Options jne.)
- Tarkoitus: Suojatut asetukset verkkosivustolla vierailtaessa
- Raskain luokitus:Oranssi (ei CSP JA x-frame-optioita),Vihreä (loput)
- Mitattu: Omalla skannerilla
- Dokumentaatio: Clickjacking: General (OWASP), CSP header, Permissions Policy, Referrer Policy, X-Content-Type-Options, Clickjacking,
- Tarkistettavissa muun muassa osoitteissa: securityheaders.com, internet.co.uk.
Meer documentatie
# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)