Wie sicher sind die Security Headers?
Sehr sicher: höchste Bewertung (A+) bei den drei Tools, die auch IT-Berater und Compliance-Auditoren verwenden. Konkret heisst das: die häufigsten Angriffs-Varianten (Phishing, eingeschleuste Tracker, abgegriffene Daten) werden automatisch blockiert, bevor sie überhaupt anfangen. In 5 Sekunden selbst überprüfbar.
Was sind Security Headers überhaupt?
Unsichtbare Schutz-Anweisungen, die deine Webeo Site bei jedem Aufruf an den Browser deiner Besucher:innen sendet, wie eine Hausordnung beim Betreten der Praxis. Der Browser hält sich daran und blockiert automatisch verschiedene Angriffs-Varianten, bevor sie überhaupt anfangen.
Wovor sie konkret schützen:
- Eingeschleuste Fremd-Inhalte: z.B. Tracker oder Werbung, die jemand über ein Schlupfloch einbaut
- Gefälschte Login-Masken (Phishing): Angreifer können deine Seite nicht in einem fremden Frame missbrauchen
- Manipulierte Verbindungen: Browser erzwingen verschlüsselte HTTPS-Verbindung, immer
- Datenklau über fremde Dienste: Browser sendet keine sensiblen Daten an Drittanbieter
Konkret aktiv bei deiner Webeo Site:
- HSTS mit Preload: HTTPS-Pflicht, auch wenn jemand
http://tippt - Strikte Content-Security-Policy: blockiert fremde Scripts und Tracker
- X-Frame-Options DENY: kein Einbetten in fremde Seiten
- X-Content-Type-Options nosniff: Browser interpretiert Dateien streng wie deklariert
- Referrer-Policy strict-origin-when-cross-origin: keine sensiblen URLs werden weitergegeben
- Permissions-Policy: Kamera, Mikrofon, Geolocation usw. standardmässig aus
So prüfst du das selbst (auch ohne IT-Hintergrund):
Geh auf securityheaders.com, gib deine Domain ein, drücke Enter: nach 5 Sekunden siehst du die Note. A+ ist die höchste. Das ist exakt das Tool, das auch Versicherungen und IT-Berater für ihre Audits verwenden. Wenn jemand nachfragt, ist das der Link, den du zeigst.