Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.Basic Security måler og publiserer alle målinger rundt sikkerhet på nett som det er forsvarlig å publisere, mer om det i publiseringspolicyen. Vi bruker også hensynene i våre etiske retningslinjer for å avgjøre hvilke målinger som skal legges til.
Denne artikkelen lister opp hvilke målinger som er gjort rundt hvilke teknikker. En fullstendig liste over disse, med referanser, finnes under overskriften «oversikt over alle målinger».
Denne målepolicyen er i stadig utvikling og tilpasses nye utviklingstrekk. Det finnes en rekke unntak fra denne målepolicyen; disse er beskrevet i unntakene fra målepolicyen.
Vennligst les vår ansvarsfraskrivelse før du bruker måledataene. Hvis du har spørsmål, kan du kontakte info@internetcleanup.foundation.
Det står i denne artikkelen:
- Informasjon om aktualiteten til målingene
- Hvordan målinger verdsettes strengere over tid (veikart)
- En oversikt over alle individuelle målinger
- Inkluderer lenker til dokumentasjon og testverktøy
Rettidighet i målingene
Målingene utføres fra daglig til ukentlig, avhengig av kompleksiteten og intensiteten i målingene. En enkelt inventarmåling utføres én gang i halvåret fordi den er støyende, mens den gjentas én gang i uken.
På grunn av målefrekvensen er dataene i rapportene vanligvis aldri eldre enn en uke. Hvis de er det, er det noe spesielt som skjer. Vi jobber fortsatt med funksjonalitet som gjør at målinger som er eldre enn to måneder aldri vises i rapportene, og reduserer denne varigheten til maksimalt én måned.
Du kan alltid se hvor gammel en måling er i detaljrapporten. Dette vises nederst på hver måling. I eksempelet nedenfor kan du se at målingen har vært den samme i 22 dager, og at den siste målingen fant sted for 1 dag siden.
I tillegg viser hvert kart kartets datakvalitet. Oversikten viser hvilke målinger som er tatt, og hvor mange av dem som er oppdaterte/utdaterte. I denne oversikten anses målinger som er eldre enn 7 dager som foreldet. Dette kan også sees i eksempelet nedenfor.
Datakvaliteten vises under kulen øverst i venstre hjørne av kartet. Denne kulen skifter farge avhengig av kvaliteten. Hvis den er oransje eller rød, er det noe galt. Vanligvis er den på en grønn prikk. Hvis alt er oppdatert, er det en regnbue her.
Veikart for innstrammingsmålinger
Over tid vil det bli strengere overvåking. Noen funn er for eksempel grønne eller oransje i dag, men vil bli røde i fremtiden.
En ny avlesning introduseres ofte som oransje eller grønn, slik at folk kan venne seg til den og handle før den blir rød.
Veikartet for dette er fortsatt fragmentert og ikke etablert. Når enkeltmålinger introduseres, er det ofte en viss omtale av dette. Denne informasjonen er fortsatt under innsamling.
Oversikt over alle målinger
Her er en oversikt over alle målinger, vurderinger, dokumentasjon og verktøy for å måle seg selv. Når alle disse brukes riktig, blir organisasjonen satt i grønt lys på kartet.
Hvis en organisasjon har oversikt over nettjenestene sine og minimerer dem, er det ikke så vanskelig å komme opp i oransje eller til og med grønt.
Sikre domenenavn (DNSSEC)
- Formål: Å gi sikkerhet om domenenavnet og innholdet på nettstedet
- Tyngste vurdering: Rød
- Målt med: dnssec.pl-verktøyet
- Dokumentasjon: internet.co.uk, OpenCRE, Wikipedia
- Kan sjekkes på: Zonemaster, internet.co.uk, verisign labs, DNS Visualizer
Meer documentatie
# level: url
dnssecTLS på nettstedet (HTTPS)
- Mål: Bruke kryptering: at et besøk på et nettsted er konfidensielt og med integritet. Kontroller at tilliten er i orden og at det ikke finnes sårbarheter i krypteringen.
- Tyngste vurdering:Rød
- Målt med: Qualys SSL Labs
- Dokumentasjon: TLS-innstillinger, Wikipedia, Digital Government Act
- Skal måles på: SSL Labs
Meer documentatie
# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trustedNettsted uten kryptering (HTTPS)
- Formål: Bruk av kryptering, det samme som TLS på nettstedet
- Tyngste vurdering:Rød
- Målt med: Egen skanner
- Dokumentasjon: TLS-innstillinger, Wikipedia, Digital Government Act
- Skal måles på: SSL Labs, internet.co.uk
Meer documentatie
# level: endpoint
plain_httpFiloverføring (FTP)
- Formål: anvendelse av kryptering
- Tyngste vurdering:Rød
- Målt med: Egen skanner
- Dokumentasjon: Wikipedia
- Kan sjekkes på f.eks. ftptest.net
Meer documentatie
# level: endpoint
ftpInformasjon om programvareversjon (bannere)
- Mål: Fjern versjonsinformasjon fordi den bare er nyttig for angripere
- Tyngste vurdering:Rød
- Målt med: nmap
- Dokumentasjon: Wikipedia, nmap
- Se etter: ipvoid
Meer documentatie
# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)E-postsikkerhet (STARTTLS, DMARC, DKIM, SPF)
- Formål: Sikre e-postens integritet og konfidensialitet
- Tyngste vurdering:Rød
- Målt av: internet.co.uk
- Dokumentasjon: Wikipedia (STARTTLS), Wikipedia (DKIM), Wikipedia (DMARC), Wikipedia (SPF)
- Kan sjekkes på: internet.co.uk, dmarcian, mxtoolbox, blant andre
Meer documentatie
# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)Innloggingsportaler
- Formål: Ikke å tilby global og offentlig funksjonalitet beregnet på en liten gruppe mennesker, spesielt for å skjerme administratorfunksjonalitet.
- Tyngste vurdering: Rød
- Målt med: Kjerner
- Dokumentasjon: Wikipedia
- For å bli målt på bl.a.: sjekk lenkene i funnene. Finnes det en påloggingsportal her? Da er funnet fortsatt gyldig. Disse portalene ligger på en spesiell side som heter Login Plaza.
Meer documentatie
# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.Sporing av informasjonskapsler uten samtykke
- Formål: Informasjonskapsler for sporing bør aldri plasseres uten tillatelse. Ved å gjøre dette gjennomsiktig, kan nettstedbyggere fjerne disse informasjonskapslene.
- Tyngste vurdering: Oransje, rød fra januar 2024.
- Målt med: Egen skanner obv Dramatiker
- Dokumentasjon: tbd
- Skal måles på: tbd
Oversikt over målte sporingskjeks
Vi måler sporingskjeksene nedenfor. Dette er følgekjeks som leverandøren oppgir at er plassert ut i markedsføringsøyemed. Disse følgerkjeksene er de klart hyppigst plasserte følgerkjeksene ifølge vår undersøkelse fra november 2023.
| Kjeks | Leverandør | Dokumentasjon i henhold til leverandør |
| _fbp | ClickID | |
| _gcl_aw | Google-annonser | Sikkerhet.Google |
| __gpi | Google-annonser | Sikkerhet.Google |
| _gcl_au | Google-annonser | Sikkerhet.Google |
| NID | Google-annonser | Sikkerhet.Google |
| IDE | Google-annonser | Sikkerhet.Google |
| VISITOR_INFO1_LIVE | Google YouTube | Sikkerhet.Google |
| li_sugr | Tabell med informasjonskapsler | |
| UserMatchHistorikk | Tabell med informasjonskapsler | |
| _ttp | TikTok | Retningslinjer for informasjonskapsler |
Meer documentatie
# level: endpoint
web_privacy_cookie_products_no_consentEier av internettadressen (WHOIS)
- Formål: Å få orden på administrasjonen av domenet. En utenforstående kan kontrollere at nettstedet tilhører riktig organisasjon hos SIDN.
- Tyngste vurdering: Oransje
- Målt med: Egen skanner
- Dokumentasjon: SIDN, Wikipedia, OpenCRE
- Kan sjekkes på: SIDN
Meer documentatie
# level: url
whois_domain_ownershipSikker tilkobling i henhold til NCSC-NL-krav (TLS)
- Formål: Anvendelse av kryptering, måling av juridiske krav
- Tyngste vurdering:Oransje
- Målt av: internet.co.uk
- Dokumentasjon: Lov, Lovfortolkning, Tekniske krav
- Måles på f.eks.: internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_web_tlsSikkerhet.txt
- Formål: Å kunne motta varsler om alvorlige sårbarheter på nettet.
- Tyngste vurdering:Oransje
- Målt av: internet.co.uk
- Dokumentasjon: internet.co.uk, Wikipedia, securitytxt.org
- Måles på f.eks.: internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxtSikker ruting av internettrafikk (RPKI)
- Mål: Sikre at internettrafikken går den riktige veien
- Tyngste vurdering:Oransje
- Målt av: internet.co.uk
- Dokumentasjon: Wikipedia
- Kan sjekkes på: internet.co.uk, ripe
Meer documentatie
# level: endpoint
internet_nl_web_rpki_existsHSTS-overskrift
- Formål: Fremtvinge kryptering på nettsteder så lenge nettlesere ikke gjør det
- Tyngste vurdering:Oransje
- Målt med: Egen skanner
- Dokumentasjon: MDN, Wikipedia, Lov om digital forvaltning
- Kan sjekkes på: securityheaders.com, internet.co.uk, blant andre
- Merk at includesubdomains og preload ignoreres, i tilfelle preload ikke oppdateres og en besøkende lander på et underdomene uten HSTS-overskrift.
Meer documentatie
# level: endpoint
http_security_header_strict_transport_securityBesøk på nettstedet respekterer personvernet
- Formål: Konfidensialitet i forbindelse med et besøk, at ingen reklame rettes mot deg etter et besøk
- Tyngste vurdering:Oransje
- Målt med: Egen skanner
- Dokumentasjon: Hefte om å bygge personvernbevisste nettsteder, Disconnect.me, forbud mot Google Analytics
- Skal måles på: Webkoll, Privacycore.org
Meer documentatie
# level: endpoint
web_privacy_third_party_requests
web_privacy_trackingRedundante tjenester (åpne porter)
- Mål: Minimere nettbaserte tjenester. Det offentlige Internett skal kun inneholde tjenester som skal være tilgjengelige for alle i hele verden.
- Tyngste vurdering:Oransje
- Målt med: Nmap
- Dokumentasjon: Wikipedia (åpne porter)
- Se etter: ipvoid
Meer documentatie
# level: endpoint
portsSTARTTLS Tilstedeværelse (e-post)
- Formål: å kunne sende kryptert e-post til e-postserveren som avsender.
- Tyngste vurdering:Oransje
- Målt av: internet.co.uk
- Dokumentasjon: internet.co.uk
- Måles på f.eks.: internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_mail_starttls_tls_availableKryptering av e-post i henhold til NCSC-krav
- Formål: å kunne sende kryptert e-post til e-postserveren som avsender.
- Tyngste vurdering:Oransje
- Målt av: internet.co.uk
- Dokumentasjon: internet.co.uk
- Måles på f.eks.: internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_mail_dashboard_tlsServerens plassering (IP Geolocation)
- Formål: Behandling av data i NL/EU, måle juridiske krav. Sikre at alle tjenester befinner seg på sitt eget (lovlige) territorium.
- Tyngste vurdering:Grønn (under introduksjonsperioden),Oransje etter oktober 2023
- Målt med: Maxmind, Ripe (for noen korreksjoner)
- Dokumentasjon: Lov om forbud mot databehandling utenfor EU (Matomo)
- Kan sjekkes på: InfoByIP, geolocation.com, iplocation.io (ikke alle disse nettstedene har samme geolokaliseringsdatabase)
Meer documentatie
# level: url
location_server
location_mail_server
location_third_party_website_contentAndre overskrifter på nettstedet (X-Frame-Options osv.)
- Formål: Sikre innstillinger når du besøker nettstedet
- Tyngste vurdering:Oransje (ingen CSP OG x-frame-alternativer),grønn (resten)
- Målt med: Egen skanner
- Dokumentasjon: Generelt (OWASP), CSP-overskrift, Retningslinjer for tillatelser, Retningslinjer for henvisninger, X-Content-Type-Options, Clickjacking,
- Kan sjekkes på: securityheaders.com, internet.co.uk, blant andre
Meer documentatie
# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)