Seo Spider: TAB EXTERNAL E SECURITY TAB

By
Raffaele Visintin
-
0
469

EXTERNAL TAB

La scheda “External” include tutti i dati relativi agli URL esterni. Vengono classificati come “esterni” gli URL dei sottodomini diversi da quello della pagina iniziale della scansione.

La Tab include i seguenti valori divisi per colonne:

  • Address: l’indirizzo dell’URL esterno.
  • Content Type: la tipologia del contenuto scoperto nell’URL.
  • Status Code: restituisce il codice di risposta HTTP (200, 3xx, 4xx, 5xx).
  • Status: rappresenta la risposta dell’intestazione HTTP (“Ok” per le risposte 200 del server, “Internal Server Error” nel caso di problemi con il server, “Forbitten” nel caso di status 403, etc.).
  • Crawl Depth (Profondità di scansione): numeri di click necessari per raggiungere un URL dalla homepage o dalla pagina iniziale di scansione.
  • Inlinks: numero di link trovati durante il crawl che puntano ad un sottodominio esterno.
    Se selezioni un URL dalla finestra superiore puoi vedere i dettagli (Es. la sorgente del link nella tab InLinks >From) dei collegamenti nella finestra inferiore del Seo Spider. 

I filtri a tua disposizione sono i medesimi della Tab Internal.

SECURITY TAB

La scheda “Security” ti permette di consultare i dati relativi alla sicurezza degli URL interni in un crawl e include i seguenti dati:

  • Address: l’URL sottoposto a scansione.
  • Content: rappresenta la tipologia di contenuto dell’URL.
  • Status Code: il codice di risposta HTTP.
  • Status: la risposta dell’intestazione HTTP.
  • Indexability: identifica se l’URL è indicizzabile o non indicizzabile.
  • Indexability Status: presenta il motivo per cui un URL non è indicizzabile, ad esempio potrebbe essere “canonicalizzato” verso un altro URL o presentare il tag “no index”.
  • Canonical Link Element 1/2 etc: identifica tutte le istanze trovate dallo Spider relative ai dati canonici dell’URL.
  • Meta Robots 1/2 etc: presenta tutte le istanze dei meta robots trovati nell’URL.
  • X-Robots-Tag 1/2 etc – Dati X-Robots-tag

Per la scheda dedicata alla sicurezza sono a tua disposizione diversi filtri che ti permettono una visione molto dettagliata  di eventuali criticità:

  • HTTP URLs: questo filtro ti permette di isolare tutti gli URL che presentano come protocollo (HTTP) o che contengano contenuti misti nelle quali si caricano risorse insicure. Il protocollo “Https” è fondamentale per la sicurezza e al contempo vitale per garantire una navigazione sicura degli utenti.Chrome e altri browser utilizzano messaggi come “Contenuto Non Sicuro” vicino al sottodominio per disincentivare la navigazione verso pagine con questo protocollo.
    Se devi controllare quali URL presentano “contenuti misti” ti basta consultare la scheda ‘inlink’ della finestra inferiore del Seo Spider. Sei in grado anche di esportare questi risultati con il report “HTTP URLs Inlinks”.

Bulk Export > Security > HTTP URLs Inlinks’.

  • URL HTTPS: comprende tutti gli URL che presentano un protocollo attendibile come l’HTTPS. 
  • Mixed Content:  attraverso il filtro sarai in grado di consultare tutte le pagine HTML con protocollo HTTPS ma che presentano risorse come immagini, JavaScript o CSS con protocollo HTTP che non vengono considerate sicure. Il contenuto misto indebolisce l’HTTPS rendendo le pagine più vulnerabili e compromissibili.
    Le risorse HTTP le puoi visualizzare per ogni URL nella scheda ‘outlinks’ ed esportare insieme alle pagine sorgente con il report “Mixed Content”.

Bulk Export > Security > Mixed Content

  • Form URL Insecure: il filtro visualizza le pagine HTML con un Form di contatto che presenta come attributo di azione un collegamento insicuro (HTTP). Tutti gli URL contenuti nei moduli di un sito web dovrebbero essere criptati e quindi devono essere HTTPS. L’URL del modulo HTTP può essere visualizzato cliccando sull’URL sorgente nella finestra superiore e poi sulla scheda della schermata inferiore ‘Dettagli URL’. Questi possono essere esportati insieme alle pagine in cui si trovano con il report “Form URL Insecure.

Bulk Export > Security > Form URL Insecure

  • Form on HTTP URL: identifica le pagine con protocollo HTTP che presentano un form e potrebbero essere bloccate dal browser. Tutti i dati inseriti nel modulo, compresi nomi utente e password potrebbero essere intercettati e creare un danno al navigatore. Il modulo può essere visualizzato facendo clic sull’URL nella finestra superiore e poi sulla scheda della finestra inferiore ‘Dettagli URL’, che ti mostra i dettagli del modulo sull’URL HTTP.
  • Unsafe Cross-Origin Links: vengono visualizzate tutte le pagine che si collegano a siti esterni usando l’attributo target=”_blank” (per aprire una pagina in una nuova scheda), senza usare rel=”noopener” (o rel=”noreferrer”) allo stesso tempo. Il solo utilizzo di target=”_blank” espone le pagine a problemi di sicurezza e di prestazioni. Idealmente rel=”noopener” dovrebbe essere usato su tutti i link che contengono l’attributo target=”_blank” per evitare il “Tabnabbing Inverso”.

Tabnabbing inverso: situazione in cui la pagina aperta mediante l’attributo “target= “_blank” può ottenere il controllo della pagina di origine mediante l’utilizzo di “window.opener.location.assign()” per sostituire  la scheda in background con documenti malevoli. Attraverso il rel= “noopener” l’utente malintenzionato non sarà in grado di accedere all’oggetto della finestra tramite window.opener.

L’utilizzo dell’attributo “noopener” non influisce a livello Seo ma preserva la sicurezza e le performance evitando che i processi della pagina di destinazione siano eseguiti nello stesso thread della pagina di origine. Alcuni dubbi rimangono sull’utilizzo dell’attributo “noreferrer” che rimuove i dati di riferimento del click a livello di browser e, non permette al proprietario del sito collegato e aperto tramite il click, di conoscerne la provenienza. Nel caso di Google Analytics l’attributo “noreferrer, modifica la “sorgente di traffico” da “referral” a “diretta” alterando le statistiche di traffico. Partendo dal presupposto che l’inserimento di un link esterno sia voluto non riteniamo l’attributo imprescindibile.

I link esterni che contengono l’attributo target=”_blank” possono essere visualizzati nella scheda ‘outlinks’ e nella colonna ‘target’. Possono essere esportati insieme alle pagine sorgente dal report “Unsafe Cross-Origin Links”

Bulk Export > Security > Unsafe Cross-Origin Links

  • Protocol-Relative Resource Links: questo filtro ti mostra tutte le pagine che caricano risorse come immagini, JavaScript e CSS usando link relativi senza specificare il protocollo (ad esempio “//screamingfrog.co.uk”). 

Questa situazione è molto comune ed adottata dagli  sviluppatori per risparmiare tempo lasciando al browser di specificare il protocollo. Tuttavia questa abitudine può esporre alcuni siti ad essere compromessi e potrebbe delineare problemi di prestazione. 

I link delle risorse che sono relativi al protocollo possono essere visualizzati per ogni URL cliccando sulla scheda ‘outlinks’ e visualizzando la colonna ‘Path Type’ per ‘Protocol Relative’. Possono essere esportati insieme alle pagine sorgente dal rapporto Protocol-Relative Resource Links.

Bulk Export > Security > Protocol-Relative Resource Links

  • Missing HSTS Header: identifica tutti gli URL che mancano dell’intestazione di risposta HSTS. La risposta HTTP Strict-Transport-Security (HSTS) indica ai browser che si dovrebbe accedere solo tramite HTTPS, piuttosto che HTTP. Se un sito web accetta una connessione a HTTP, prima di essere reindirizzato a HTTPS, i visitatori inizialmente comunicheranno ancora su HTTP. L’intestazione HSTS indica al browser di non caricare mai su HTTP e di convertire automaticamente tutte le richieste in HTTPS. Il Seo Spider stesso seguirà le istruzioni dell’intestazione HSTS, ma riporterà qualsiasi link incontrato su URL HTTP con un codice di stato 307 e lo stato della ‘HSTS Policy’.
  • Missing Content-Security-Policy-Header: identifica qualsiasi URL che manca dell’header di risposta Content-Security-Policy. Questa intestazione permette ad un sito web di controllare quali risorse vengono caricate per una pagina. Questa politica può aiutare a proteggere contro gli attacchi cross-site scripting (XSS) che sfruttano la fiducia del browser sul contenuto ricevuto dal server. Il Seo Spider controlla solo l’esistenza dell’intestazione, e non interroga le direttive trovate all’interno per determinare se sono ben impostate per il sito web. Questo dovrebbe essere eseguito manualmente.
  • Bad Content Type: visualizza qualsiasi URL in cui il tipo di contenuto effettivo non corrisponde al tipo di contenuto impostato nell’intestazione dell’Header. Identifica anche qualsiasi tipo MIME utilizzato ma non valido.