Donderdag 7 maart 2024
Auditorium Henry van de Velde, Tweebronnen, Leuven.
Een bont allegaartje met coöperatieve achtergrond verzamelde in de Leuvense bibliotheek om een en ander te weten te komen over cybersecurity, NIS2 en privacy of eerder het gebrek daaraan en mogelijke alternatieven.
Het was een gezellig evenement in een knus kader waarbij ook de dorstigen en hongerigen gelaafd werden.
Misschien had je er ook graag bij geweest, maar paste dat niet echt in de planning of sta je nog niet in de lijsten bij Cooperworks, Nestor of Coopkracht.
Niet getreurd we hebben het allemaal geregistreerd.
De hele voorstelling herbekijken kan via twee kanalen
privacy vriendelijk op :peertube
of zonder privacy op : YouTube
Link naar de presentatie van Cooperworks: klik hier
Link naar de presentatie van Nestor: https://nextcloud.nestor.coop/s/LGEsfNjcRsepi7G
Security tools
Bij wijze van basistest hebben we de DNS, mail en website van alle deelnemers onderzocht met de volgende publieke hulpmiddelen.
Domain health van MxToolbox heeft een Domain Health Report wat je een snel overzicht geeft van een aantal instellingen van je domeinnaam.
Op deze site vind je ook een heel set tools om je mail instellingen te controleren, of je SPF en DMARC instellingen juist zijn en of je niet in een of andere blacklist zit.
https://mxtoolbox.com/SuperTool.aspx
Hardenize is een andere tool die een algemeen overzicht geeft van je DNS, email en webconfiguratie.
De details van de verschillende tests geven eveneens een startpunt om de opmerkingen aan te pakken.
Om te weten te komen of de HTTPS-instellingen van je site helemaal up-to-date zijn, hebben we gebruik gemaakt van o.a. https://www.ssllabs.com/ssltest/.
Je krijgt een rating van de site over de gebruikte certificaten en cryptografische instellingen, inclusief aanbevelingen.
Een minder gekend aspect van webpagina security zijn de security headers die je websserver meegeeft aan elke browser (web client) bij verbinding. Door middel van deze headers kan je aangeven dat de site bv enkel via https bereikbaar mag zijn. Met X-frame-options kan je bv aan een browser vertellen dat je site niet in een frame (op een ander site) mag verstopt worden. Ook het legen van de cache op de client zodat er geen restanten achterblijven van eerdere bezoeken kan via deze weg geregeld worden.
Tot slot nog een idee van hoe goed de gemiddelde coöperatie scoorde op onze testen
Voor de SSLLabs test slaagde iedereen.
Bij mail valt het op dat vooral DMARC en in mindere mate SPF (welke servers mail mogen versturen in naam van jouw domein) nog niet helemaal onder de knie zijn. Ook op gebied versleutelde SMTP loopt er nog wel eens wat fout, al was het maar omdat alle Office365 gebruikers hier slecht scoren.
Bij Hardenize web valt het op dat er veel opties zijn om niet 100% up-to-date te zijn. Net iets meer dan 50% heeft geen enkele tekortkoming.
Op het gebied van security headers is er nog redelijk wat ruimte voor verbetering. Er zijn aardig wat sites die helemaal geen of heel basisinstellingen staan hebben. Een minderheid scoort echt goed , het merendeel haalt een D.
