Funzione analisi
VelqTest esegue una batteria di controlli passivi sulla superficie pubblica di un dominio: header di risposta HTTP, applicazione del trasporto cifrato e record DNS. Nessun controllo è invasivo e nessuna analisi tocca il codice applicativo. Di seguito l'elenco completo dei controlli, con la relativa finalità di sicurezza.
Trasporto e connessione
Richiesta HTTP con timeout breve verso il dominio. Se il server non risponde né su HTTPS né su HTTP, l'analisi si interrompe: senza una risposta valida ogni ulteriore verifica sarebbe priva di significato.
Verifica che l'endpoint HTTPS risponda (a conferma implicita della validità del certificato, poiché un handshake TLS fallito impedirebbe la connessione) e che le richieste in chiaro su HTTP vengano reindirizzate verso HTTPS. La data di scadenza del certificato non è leggibile in questo contesto e viene volutamente omessa anziché stimata.
Header di sicurezza HTTP
Direttiva che impone al browser l'uso esclusivo di HTTPS per le visite successive, mitigando gli attacchi di downgrade e l'intercettazione sulla prima connessione in reti non fidate.
Presenza di X-Frame-Options oppure della direttiva
frame-ancestors nella Content-Security-Policy, che
impedisce l'incorporamento del sito in un frame di terze parti
(attacco di clickjacking).
Disabilita il MIME sniffing del browser, impedendo che una risorsa venga reinterpretata ed eseguita con un tipo diverso da quello dichiarato.
Verifica della sola presenza dell'header. La CSP definisce le origini autorizzate per script e risorse ed è la difesa primaria contro l'XSS. In questa versione non ne valutiamo la qualità: la presenza è condizione necessaria ma non sufficiente.
Controlla quali informazioni sull'URL di origine vengono trasmesse nelle richieste cross-origin, limitando la fuga di percorsi interni verso destinazioni esterne.
Dichiara e restringe l'accesso alle API sensibili del browser (geolocalizzazione, fotocamera, microfono, pagamenti), riducendo la superficie sfruttabile in caso di injection.
Esposizione di informazioni
Rileva la divulgazione di software e versione tramite gli header
Server e X-Powered-By. La versione esatta
agevola la ricerca di vulnerabilità note (CVE) per quella specifica
build.
DNS e posta elettronica
Sender Policy Framework: record TXT che elenca i server autorizzati a inviare posta per il dominio. La sua assenza facilita lo spoofing del mittente e peggiora la deliverability della posta legittima.
Record TXT su _dmarc.<dominio> che definisce la
policy di gestione dei messaggi non autenticati (none / quarantine /
reject) e la reportistica. Completa SPF e DKIM nella difesa
anti-spoofing.
Certification Authority Authorization: record DNS che vincola quali CA possono emettere certificati per il dominio, riducendo il rischio di emissione fraudolenta.
Disclosure e contatto
Presenza del file /.well-known/security.txt, che
pubblica un canale di contatto per la segnalazione responsabile di
vulnerabilità. Indicatore di maturità del processo di sicurezza.
Ogni controllo restituisce uno di tre esiti: superato, da correggere o non verificabile. Un errore tecnico (timeout, errore di rete) produce sempre "non verificabile", mai un esito inferito. I controlli classificati come gravi (raggiungibilità, HTTPS, SPF) vincolano il voto complessivo a un massimo di C se falliti.