Open source vrijgave Internet.nl inclusief 'security headers'

21 februari 2019
Vanaf vandaag is de broncode van Internet.nl beschikbaar onder een opensource-licentie. Dit maakt het mogelijk voor iedereen om de werking te verifiëren en om een eigen lokale versie te draaien. Bovendien hebben we een nieuwe testcategorie voor applicatie-beveiligingsopties oftewel security headers toegevoegd.

Open source

De software-broncode van Internet.nl is op Github gepubliceerd onder een een Apache Licentie, versie 2.0. Internet.nl is mede mogelijk gemaakt door andere open source software te gebruiken en te combineren. De belangrijkste open source bouwstenen van Interrnet.nl zijn Python 3, Django, PostgreSQL, Celery, Redis, RabbitMQ, nassl, unbound/libunbound and Postfix. Zie de auteursrechtpagina voor meer informatie.

Test voor applicatie-beveiligingsopties

De website test heeft een nieuwe testcategorie voor applicatie-beveiligingsopties . Deze instellingen kunnen worden verzonden naar de browser via HTTP-headers en worden vaak 'security headers' genoemd. De nieuwe categorie bevat testen voor X-Frame-Options, X-Content-Type-Options, X-XSS-Protection, Content-Security-Policy and Referrer-Policy. Voor de laatste twee controleren we alleen de aanwezigheid, maar we beoordelen nog niet de effectiviteit van het ingestelde beleid. Momenteel wegen de resultaten van deze nieuwe testen nog niet mee in de totaalscore.

Over Internet.nl

De testtool Internet.nl is een initiatief van het Platform Internetstandaarden, samenwerkingsverband van partners uit de internetcommunity en Nederlandse overheid. De missie van het platform is om gezamenlijk het gebruik van moderne internetstandaarden te stimuleren zodat het internet voor iedereen veilig en toegankelijk blijft. ECP biedt de administratieve basis voor het platform. De technische realisatie en implmentatie van Internet.nl is in handen van NLnet Labs.

Release notes

  • New features:
    • New "Security Options" for the website test to check security HTTP headers;
  • Changes:
    • DMARC verification now uses Mozilla's public suffix list for finding the organizational domain;
    • DMARC validation now gives a warning if rua/ruf is not valid;
    • Added link to test explanation on connection results;
    • New way of showing verdict for failed categories;
  • Bug fixes:
    • Fixed DMARC external report addresses and validation when multiple URIs;
    • Ignore MX records that include 'localhost';
    • Home page statistics numbers sometimes weren't adding up;
    • Several content improvements.