Funzione analisi

VelqTest esegue una batteria di controlli passivi sulla superficie pubblica di un dominio: header di risposta HTTP, applicazione del trasporto cifrato e record DNS. Nessun controllo è invasivo e nessuna analisi tocca il codice applicativo. Di seguito l'elenco completo dei controlli, con la relativa finalità di sicurezza.

Trasporto e connessione

Raggiungibilità grave

Richiesta HTTP con timeout breve verso il dominio. Se il server non risponde né su HTTPS né su HTTP, l'analisi si interrompe: senza una risposta valida ogni ulteriore verifica sarebbe priva di significato.

HTTPS attivo e forzato grave

Verifica che l'endpoint HTTPS risponda (a conferma implicita della validità del certificato, poiché un handshake TLS fallito impedirebbe la connessione) e che le richieste in chiaro su HTTP vengano reindirizzate verso HTTPS. La data di scadenza del certificato non è leggibile in questo contesto e viene volutamente omessa anziché stimata.

Header di sicurezza HTTP

Strict-Transport-Security (HSTS) leggero

Direttiva che impone al browser l'uso esclusivo di HTTPS per le visite successive, mitigando gli attacchi di downgrade e l'intercettazione sulla prima connessione in reti non fidate.

Protezione clickjacking leggero

Presenza di X-Frame-Options oppure della direttiva frame-ancestors nella Content-Security-Policy, che impedisce l'incorporamento del sito in un frame di terze parti (attacco di clickjacking).

X-Content-Type-Options: nosniff leggero

Disabilita il MIME sniffing del browser, impedendo che una risorsa venga reinterpretata ed eseguita con un tipo diverso da quello dichiarato.

Content-Security-Policy leggero

Verifica della sola presenza dell'header. La CSP definisce le origini autorizzate per script e risorse ed è la difesa primaria contro l'XSS. In questa versione non ne valutiamo la qualità: la presenza è condizione necessaria ma non sufficiente.

Referrer-Policy leggero

Controlla quali informazioni sull'URL di origine vengono trasmesse nelle richieste cross-origin, limitando la fuga di percorsi interni verso destinazioni esterne.

Permissions-Policy leggero

Dichiara e restringe l'accesso alle API sensibili del browser (geolocalizzazione, fotocamera, microfono, pagamenti), riducendo la superficie sfruttabile in caso di injection.

Esposizione di informazioni

Header Server / X-Powered-By leggero

Rileva la divulgazione di software e versione tramite gli header Server e X-Powered-By. La versione esatta agevola la ricerca di vulnerabilità note (CVE) per quella specifica build.

DNS e posta elettronica

Record SPF grave

Sender Policy Framework: record TXT che elenca i server autorizzati a inviare posta per il dominio. La sua assenza facilita lo spoofing del mittente e peggiora la deliverability della posta legittima.

Record DMARC leggero

Record TXT su _dmarc.<dominio> che definisce la policy di gestione dei messaggi non autenticati (none / quarantine / reject) e la reportistica. Completa SPF e DKIM nella difesa anti-spoofing.

Record CAA leggero

Certification Authority Authorization: record DNS che vincola quali CA possono emettere certificati per il dominio, riducendo il rischio di emissione fraudolenta.

Disclosure e contatto

security.txt (RFC 9116) leggero

Presenza del file /.well-known/security.txt, che pubblica un canale di contatto per la segnalazione responsabile di vulnerabilità. Indicatore di maturità del processo di sicurezza.

Ogni controllo restituisce uno di tre esiti: superato, da correggere o non verificabile. Un errore tecnico (timeout, errore di rete) produce sempre "non verificabile", mai un esito inferito. I controlli classificati come gravi (raggiungibilità, HTTPS, SPF) vincolano il voto complessivo a un massimo di C se falliti.

← Torna alla home