HSTS
Strict-Transport-Security ohjaa selainta käyttämään sivustoa
vain HTTPS-yhteydellä. Se kannattaa ottaa käyttöön vasta, kun HTTPS toimii
varmasti oikein.
HTTP · Verkkoturvallisuus · Otsakkeet
HTTP-tietoturvaotsakkeet
Tarkista verkkosivuston tärkeimmät HTTP-tietoturvaotsakkeet. Otsakkeet auttavat parantamaan selainturvallisuutta, vähentämään XSS-riskejä ja suojaamaan sivustoa väärinkäytöksiltä.
Tarkistus tehdään osoitteeseen https://verkkotunnus/. Syötä vain verkkotunnus,
esimerkiksi domain.com, ilman https://-alkua.
Syötä verkkotunnus ja käynnistä tarkistus.
Opas · HTTP-tietoturvaotsakkeet
Mitä HTTP-tietoturvaotsakkeiden tarkistus tekee?
HTTP-tietoturvaotsakkeiden tarkistus selvittää, palauttaako verkkosivusto keskeisiä selaimen turvallisuuteen vaikuttavia HTTP-otsakkeita. Näillä otsakkeilla voidaan ohjata selainta käyttämään HTTPS-yhteyttä, rajoittaa sivulle ladattavia resursseja, estää sisällön tyypin arvaamista ja vähentää kehysupotuksiin liittyviä riskejä.
Tarkistus kohdistuu sivuston HTTPS-vastaukseen ja näyttää, mitkä tarkistettavista otsakkeista löytyivät, mitä arvoja niissä on ja mitä asetuksia kannattaa vielä tarkistaa.
CSP
Content-Security-Policy rajoittaa, mistä lähteistä selain saa
ladata skriptejä, tyylejä, kuvia ja muita resursseja.
Referrer-Policy
Referrer-Policy määrittää, kuinka paljon osoitetietoa selain
lähettää käyttäjän siirtyessä sivustolta toiselle.
X-Content-Type-Options
X-Content-Type-Options: nosniff estää selainta arvaamasta
tiedoston sisältötyyppiä palvelimen ilmoittaman tyypin ohi.
Miksi HTTP-tietoturvaotsakkeet ovat tärkeitä?
Tietoturvaotsakkeet eivät korvaa turvallista sovelluskoodia, mutta ne ovat tärkeä lisäsuojakerros selaimen ja verkkopalvelun välissä. Oikein määritettynä ne voivat vähentää esimerkiksi XSS-hyökkäysten, clickjackingin, sekasisällön ja turhan tietovuodon riskiä.
Hyvät HTTP-tietoturvaotsakkeet ovat myös merkki siitä, että sivuston ylläpidossa on huomioitu selaintason suojaus. Erityisesti kirjautumisia, asiakastietoja, lomakkeita tai hallintapaneeleja sisältävillä sivustoilla nämä asetukset kannattaa tarkistaa säännöllisesti.
Miten tulosta tulkitaan?
Korkea pistemäärä tarkoittaa, että suurin osa tarkistettavista otsakkeista löytyi sivuston HTTPS-vastauksesta. Pelkkä otsakkeen olemassaolo ei kuitenkaan aina riitä: myös arvon täytyy sopia sivuston toimintaan. Esimerkiksi liian tiukka CSP voi rikkoa sivuston toimintoja, kun taas liian väljä CSP ei tarjoa merkittävää suojaa.
Jos otsake puuttuu, se ei aina tarkoita välitöntä kriittistä virhettä. Tärkeys riippuu sivuston käyttötarkoituksesta. Julkisella staattisella sivulla riskitaso on erilainen kuin kirjautumista, käyttäjädataa tai maksamista käsittelevässä palvelussa.
Usein kysytyt kysymykset
Voiko HSTS rikkoa sivuston?
Kyllä, jos HTTPS ei ole kunnossa kaikilla tarvittavilla alidomaineilla tai palveluissa. HSTS kannattaa ottaa käyttöön vasta, kun HTTPS toimii varmasti oikein.
Onko Content-Security-Policy pakollinen?
CSP ei ole teknisesti pakollinen, mutta se on yksi tärkeimmistä selaintason suojauksista. Se kannattaa määrittää huolellisesti sivuston todellisten resurssien mukaan.
Riittävätkö HTTP-tietoturvaotsakkeet suojaamaan sivuston?
Eivät yksin. Ne ovat tärkeä lisäsuojakerros, mutta sivuston sovelluskoodin, palvelimen, päivitysten, käyttöoikeuksien ja TLS-asetusten täytyy myös olla kunnossa.