Resultat för www.vgregion.se

Kolla igen 2020-03-31 16:17:49 Etc/UTC

HTTPS som standard

www.vgregion.se använder HTTPS som standard.

Chromium rapporterar följande:

Status Titel Sammanfattning Beskrivning
Certificate valid and trusted The connection to this site is using a valid, trusted server certificate issued by GlobalSign RSA OV SSL CA 2018.
Resources all served securely All resources on this page are served securely.
Connection obsolete connection settings The connection to this site is encrypted and authenticated using TLS 1.2, ECDHE_RSA with P-256, and AES_128_CBC with HMAC-SHA1.

Mer information om webbplatsens TLS/SSL-konfiguration:

HTTP Strict Transport Security (HSTS)

HSTS-policy för https://www.vgregion.se:
max-age=31536000

OK Test
max-age satt till minst 6 månader
includeSubDomains — policy gälller även underdomäner
preload - begär inkludering i preload-listor [endast relevant för basdomän]

HSTS ej satt på basdomänen https://vgregion.se.

Content Security Policy

Content Security Policy satt i HTTP-header: frame-ancestors *.vgregion.se *.vastarvet.se *.angeredsnarsjukhus.se *.fhsk.se *.lodosemuseum.se *.naturbruk.nu *.nusjukvarden.se *.vgrfolkhogskolor.se *.narhalsan.se *.forsviksbruk.se *.vanersborgsmuseum.se *.vitlyckemuseum.se *.sahlgrenska.se *.naturbruk.nu *.slojdochbyggnadsvard.se *.mun-h-center.se *.maritimaklustret.se *.botaniska.se *.gnm.se *.insipio.com *.esmaker.net *.samverkandesjukvard.se *.vastfastigheter.se *.fyrbodalshalsoakademi.se *.valdinararelationer.se *.utvag.se *.vardsamverkan.se *.nationellpvkonferens19.se *.utvag.com *.biobankvast.se *.t-d.se;

Content Security Policy (CSP) implementerat på ett osäkert sätt. Detta inkluderar 'unsafe-inline' eller data: inuti script-src, alltför breda källor såsom https: inuti object-src eller script-src, eller att inte begränsa källorna för object-src eller script-src.

OK Test Info
Clickjacking-skydd genom användande av frame-ancestors

Användningen av CSP:s frame-ancestors-direktiv ger detaljerad kontroll över vem som kan ha din webbplats i en frame.

Visa
Neka som standard, genom användning av default-src 'none'

Att neka som standard genom att använda default-src 'none' kan se till att din Content Security Policy inte tillåter laddning av resurser som du inte avsåg skulle vara tillåtna.

Visa
Begränsar användningen av <base>-elementet genom att använda base-uri 'none', base-uri 'self', eller specifika origins

Elementet base kan användas för att lura din webbplats att ladda skript från otillförlitliga origins.

Visa
Begränsar var <form>-innehåll kan skickas genom att använda form-action 'none', form-action 'self' eller specifika URI:er

Skadlig JavaScript eller innehållsinjicering kan modifiera platsen som känslig formulärdata skickas till, eller skapa ytterligare formulär för dataexfiltrering.

Visa
Blockerar laddning av aktivt innehåll över HTTP eller FTP

Laddning av JavaScript eller plugins kan möjliggöra att en "man in the middle" kan köra godtycklig kod på din webbplats. Att göra din policy restriktiv och att ändra länkar till HTTPS kan hjälpa till med att förhindra detta.

Visa
Blockerar laddning av passivt innehåll över HTTP eller FTP

Webbplatsens Content Security Policy tillåter laddning av passivt innehåll (såsom bild och video) över osäkra protokoll som HTTP eller FTP. Överväg att ändra så att de laddas över HTTPS.

Visa
Använder CSP3:s 'strict-dynamic'-direktiv för att tillåta dynamisk skriptladdning (frivilligt)

'strict-dynamic' låter dig använda en "shim loader" i JavaScript för att ladda din webbplats alla skript dynamiskt, utan att behöva hålla koll på script-src-origins.

Visa
Blockerar körning av JavaScripts eval()-funktion genom att inte tillåta 'unsafe-eval' inuti script-src

Att blockera användandet av JavaScripts eval()-funktion kan hjälpa till att hindra körning av opålitlig kod.

Visa
Blockerar körning av inline-JavaScript genom att inte tillåta 'unsafe-inline' inuti script-src

Att förhindra körning av inline-JavaScript ger CSP:s starkaste skydd mot cross-site scripting-attacker. Att flytta JavaScript till externa filer kan också göra din webbplats enklare att underhålla.

Visa
Blockerar inline styles genom att inte tillåta 'unsafe-inline' inuti style-src

Att blockera inline styles kan hindra angripare från att modifiera innehåller eller utseendet på din sida. Att flytta styles till externa stylesheets kan också göra din webbplats enklare att underhålla.

Visa
Blockerar körning av plugins genom att använda object-src-restriktioner

Att blockera körning av plugins via object-src 'none' eller som ärvt från default-src kan hindra angripare från att ladda Flash eller Java i din sidas kontext.

Visa

Content Security Policy-testen är baserade på de från Mozilla HTTP Observatorys scanner-/grader-projekt (Mozilla Public License 2.0) av April King, återimplementerat av oss för Webbkoll. De förklarande texterna är från webbplatsen Observatory by Mozilla, CC-BY-SA 3.0. Misstag eller felaktigheter i resultaten är vårt fel.

Referrer Policy

Referrer Policy ej satt. Det innebär att standardvärdet no-referrer-when-downgrade, som läcker referrers i många situationer, används.

Subresource Integrity (SRI)

Subresource Integrity (SRI) ej implementerat, och externa resurser laddas över HTTP eller använder protokollrelativa URL:er via src="//...".

Följande tredjepartsresurser laddas utan SRI:

Typ URL
script https://insipio.com/readit3/www.vgregion.se/js/readit3.min.js
script //piwik-ext.vgregion.se/piwik.js

Subresource Integrity-testet är baserat på det från Mozilla HTTP Observatory-scanner-/grader-projektet (Mozilla Public License 2.0) av April King, återimplementerat av oss för Webbkoll.

HTTP-headers

OK Header Värde Resultat
X-Content-Type-Options X-Content-Type-Options-header ej implementerad
X-Frame-Options X-Frame-Options-header (XFO) ej implementerad
X-XSS-Protection X-XSS-Protection-header ej implementerad

Header-testen är baserade på de från Mozilla HTTP Observatorys scanner-/grader-projekt (Mozilla Public License 2.0) av April King, återimplementerat av oss för Webbkoll. De förklarande texterna är från webbplatsen Observatory by Mozilla, CC-BY-SA 3.0.

Kakor

Förstapartskakor (2)

Domän Namn Värde Utgångstid HttpOnly Secure SameSite
www.vgregion.se _pk_id.86.7a95 5276ecb9a4b9687e.158... 2021-04-28 16:17:38Z (Lax)
www.vgregion.se _pk_ses.86.7a95 1 2020-03-31 16:47:37Z (Lax)

HttpOnly innebär att kakan endast kan läsas av servern, och inte av JavaScript hos klienten. Detta kan motverka XSS-attacker (cross-site scripting).

Secure innebär att kakan bara får skickas över en säker kanal (HTTPS). Detta kan motverka MITM-attacker (man-in-the-middle).

SameSite kan användas för att säga åt webbläsaren att bara skicka kakor när begäran kommer från samma webbplats. Detta kan motverka CSRF-attacker (cross-site request forgery).

GDPR: Skäl 60, Skäl 61, Skäl 69, Skäl 70, Skäl 75, Skäl 78, Art. 5.1.a, Art. 5.1.c, Art. 5.1.e, Art. 21, Art. 22, Art. 32.

e-PD (2002/58/EC). Rec. 24, 25, Art. 5.2.

e-PD revised (2009/136/EC). Rec. 65, 66.

Mer information

localStorage

localStorage används ej.

Tredjepartsförfrågningar

1 förfrågan (1 säker, 0 osäkra) till 1 unik värd.

En tredjepartsförfrågan är en förfrågan som inte gjorts till vgregion.se eller dess underdomäner.

Domän IP Land Klassificering URL:er
insipio.com 88.131.103.66 SE Visa (1)

Vi använder Disconnects spårningslista (open source) för att klassificera domäner.

GDPR: Skäl 69, Skäl 70, Art. 5.1.b-c, Art. 25.

Serverplats

Servern www.vgregion.se (192.71.67.110) verkade vara belägen i Sverige under vårt test.

Se mer information (t.ex. ägare) för denna IP-adress med KeyCDN:s verktyg.

Alla headers

Header Värde
accept-ranges bytes
cache-control no-cache, must-revalidate
connection Keep-Alive
content-encoding gzip
content-security-policy frame-ancestors *.vgregion.se *.vastarvet.se *.angeredsnarsjukhus.se *.fhsk.se *.lodosemuseum.se *.naturbruk.nu *.nusjukvarden.se *.vgrfolkhogskolor.se *.narhalsan.se *.forsviksbruk.se *.vanersborgsmuseum.se *.vitlyckemuseum.se *.sahlgrenska.se *.naturbruk.nu *.slojdochbyggnadsvard.se *.mun-h-center.se *.maritimaklustret.se *.botaniska.se *.gnm.se *.insipio.com *.esmaker.net *.samverkandesjukvard.se *.vastfastigheter.se *.fyrbodalshalsoakademi.se *.valdinararelationer.se *.utvag.se *.vardsamverkan.se *.nationellpvkonferens19.se *.utvag.com *.biobankvast.se *.t-d.se;
content-type text/html; charset=utf-8
date Tue, 31 Mar 2020 16:11:41 GMT
server Microsoft-IIS/8.5
strict-transport-security max-age=31536000
transfer-encoding chunked
vary Accept-Encoding
x-aspnet-version 4.0.30319
x-aspnetmvc-version 5.2
x-ua-compatible IE=edge
x-varnish 336519027 337324850

Vad verktyget kollar (och inte kollar)

Det här verktyget försöker simulera vad som händer när en användare besöker en viss sida med en vanlig webbläsare. Webbläsaren har inga tillägg installerade, och Do Not Track (DNT) är inte aktiverat, eftersom det är standardinställningen i de flesta webbläsare.

Externa filer som bilder, skript och CSS laddas, men verktyget interagerar inte med sidan &mdash; inga länkar klickas, inga formulär skickas.

Observera: Det är möjligt att resultaten som presenteras här inte är korrekta. Buggar händer. Verktyget är främst menat att användas av webbplatsinnehavare som en startpunkt för förbättringar, inte för att göra rigorösa analyser.

Text om HTTPS delvis anpassad från CIO Council's The HTTPS-Only Standard (public domain). MaxMinds GeoLite2 country database (CC-BY-SA 4.0) används för GeoIP-lookups. Se här för mer information.