Sjekker at nettstedet setter de riktige sikkerhetshoderne og har et forsvarlig TLS-oppsett. Kjøres mot en URL utenfra — trenger verken kildekode eller tilgang.
Kan kjøres mot et driftssatt system utenfra — trenger verken kildekode eller tilgang. Egnet også for gamle og leverandørlåste systemer.
Hva den avdekker
Manglende hoder som Content-Security-Policy, HSTS og X-Content-Type-Options, svake TLS-versjoner (gammel TLS 1.0/1.1), og sertifikatproblemer. Gir en bokstavkarakter (A+ til F) du kan følge over tid.
Slik kjører du den
Lim inn URL-en på securityheaders.com og ssllabs.com/ssltest. Tar sekunder, koster ingenting, og fungerer på et hvilket som helst driftssatt system — også et gammelt du ikke har koden til. Rett funnene i webserver- eller CDN-konfigurasjonen.
Slik tolker du resultatet
En dårlig karakter betyr ikke nødvendigvis at systemet er hacket, men at en angriper har lettere spill. CSP er den vanskeligste å få riktig — for streng, og siden brekker; for løs, og den beskytter lite. Fallgruve: dobbel CSP fra både applikasjon og CDN kan gi uventet oppførsel.
AI-perspektiv
Å skrive en riktig, streng CSP for et eksisterende nettsted var tidligere en tålmodighetsprøve. AI kan lese hva siden faktisk laster og foreslå en policy som passer — en reell tidsbesparelse på et tiltak mange hopper over nettopp fordi det var fikkelig.
Har dere et eksisterende system dere lurer på tilstanden til? Mange av disse analysene kan kjøres utenfra, uten å røre koden. DOPS gjennomgår ytelse, sikkerhet og teknisk gjeld i systemer dere allerede eier — og sier ærlig fra om hva som haster og hva som kan vente.
Snakk med DOPS