Security headers: Pieni ratkaisu, suuri vaikutus nettisivujen tietoturvaan
Security headers: Pieni ratkaisu, suuri vaikutus nettisivujen tietoturvaan
Nettisivujen tietoturvaan liittyy lukuisia teknisiä yksityiskohtia, mutta yksinkertainenkin suojauskeino voi estää ison osan hyökkäyksistä. Yksi näistä ratkaisuista on security headers – suomalaisittain tietoturvaotsikot. Tässä artikkelissa käydään läpi, miksi nämä pienet HTTP-pyyntöihin lisättävät määritykset ovat olennaisia nykyaikaisen yrityssivuston ja verkkopalvelun suojaamisessa, sekä miten ne kannattaa ottaa käyttöön.
Mitä security headersit ovat ja mitä ne tekevät?
Security headersit ovat asetuksia, jotka palvelin välittää jokaisella sivulatauksella selaimelle. Ne ohjaavat selainta käyttäytymään turvallisemmin ja suojaavat useilta tavallisilta hyökkäyksiltä. Security headersit eivät ole vain ”hyvä lisä” – niistä on tullut olennainen osa peruskestävää tietoturvaa kaiken kokoisille yrityksille. Yleisimmin niillä torjutaan seuraavat hyökkäysmuodot:
- Cross-Site Scripting (XSS)
- Clickjacking
- Istunnon kaappaukset
- Sisällön manipulointi (esim. tiedostotyyppien väärentäminen)
Ilman asianmukaisia headers-asetuksia selain toimii oletuksilla, jotka jättävät portin auki hyökkäyksille. Hyökkääjälle tämä tarkoittaa matalaa kynnystä kokeilla tunnettuja kikkoja myös suomalaisilla yrityssivuilla.
Keskeiset security headersit – Mitä vähintään kannattaa käyttää?
| Header | Tarkoitus | Suositus |
|---|---|---|
| Content-Security-Policy (CSP) | Rajoittaa skiriptien ja resurssien lähteitä, estää XSS-hyökkäyksiä | default-src ’self’; |
| Strict-Transport-Security (HSTS) | Pakottaa selaimen käyttämään salattua (HTTPS) yhteyttä | max-age=63072000; includeSubDomains |
| X-Frame-Options | Estää sivun näyttämisen kehyksissä (clickjacking-suojana) | DENY |
| X-Content-Type-Options | Estää selainta arvaamasta tiedostotyyppiä väärin | nosniff |
| Referrer-Policy | Rajoittaa referrer-tietojen vuotamista ulkopuolisille | no-referrer-when-downgrade |
| Permissions-Policy | Rajoittaa selaimen ominaisuuksia (kamera, mikrofoni ym.) | camera=(), microphone=() |
Miten security headersit otetaan käyttöön käytännössä?
Security headersit määritetään palvelimen asetuksissa, esimerkiksi .htaccess-tiedostossa (Apache) tai Nginx-palvelimen määritystiedostossa. Julkaisujärjestelmästä riippuen voi käyttää myös valmiita lisäosia, kuten WordPressin HTTP Headers -laajennusta. Yksinkertainen esimerkki Apachelle:
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "DENY"
Header always set Referrer-Policy "no-referrer-when-downgrade"
Kun headerit otetaan käyttöön, omalle sivulle kannattaa tehdä tietoturvatesti esimerkiksi securityheaders.com -sivustolla. Testi antaa arvosanan ja ehdottaa mahdollisia parannuksia.
Jos headersit puuttuvat – mitä voi tapahtua?
Kuvitellaan tilanne: yrityksen WordPress-sivulle lisätään ennakkotilauslomake. Puutteellinen Content-Security-Policy mahdollistaa hyökkääjälle pienen koodin injektoinnin, jolla käyttäjän istuntotiedot varastetaan. Yleisin seuraus sivuston tietoturvapuutteista on kuitenkin arkaluontoisten tietojen vuotaminen tai sivuston kaappaaminen bottiverkkoon.
Yhteenveto
Security headers on yksi niistä tietoturva-askeleista, jonka lisääminen on helppo unohtaa, mutta jonka puuttuminen käy nopeasti kalliiksi. Nykyaikainen selain hyödyntää nämä asetukset täysimääräisesti – aseta siis vähintään suositellut headerit kuntoon jokaiselle yrityksesi sivustolle. Näin pienennät riskejä ja parannat sekä omaa että asiakkaiden digitaalista turvallisuutta.
Kiinnostaako tietoturva-arviointi sivustollenne? Ota yhteyttä – saat selkeän raportin mihin asioihin kannattaa kiinnittää huomiota omalla yrityssivullasi!
