WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

Quale header di sicurezza distribuire per primo?

Iniziate con la baseline piu sicura: X-Content-Type-Options, una Referrer-Policy deliberata, flag dei cookie sicuri e un rollout graduale del CSP. HSTS e potente ma deve essere applicato solo quando HTTPS e stabile ovunque ne abbiate bisogno.

Un CSP robusto puo sostituire i test di sicurezza applicativa?

No. CSP riduce il rischio di esecuzione lato browser, ma non sostituisce la code review, l'igiene delle dipendenze, il DAST, le verifiche di autenticazione ne i workflow di remediation.

Le PMI dovrebbero preoccuparsi di Permissions-Policy?

Si. Anche i siti semplici traggono beneficio dal disabilitare esplicitamente le capacita del browser che non utilizzano. E un modo economico per ridurre l'esposizione non necessaria.

Con che frequenza devono essere ricontrollati gli header?

Ricontrollateli dopo i deployment, quando cambiano gli script di terze parti e secondo un calendario di monitoraggio ricorrente. La postura degli header devia silenziosamente nel tempo se nessuno ne e responsabile.

Checklist degli header di sicurezza — Baseline di produzione per PMI

Perche gli header di sicurezza restano fondamentali

Gli header di sicurezza sono tra i pochi controlli di hardening che migliorano immediatamente la vostra baseline senza riscrivere il prodotto. Indicano al browser come trattare le vostre pagine, i cookie, la policy di framing e le regole di caricamento delle risorse esterne.

Per le PMI, gli header sono particolarmente preziosi perche riducono intere categorie di errori comuni durante l'iterazione rapida del prodotto: framing permissivo, contenuti misti, impostazioni deboli dei cookie, inclusione accidentale di script e integrazioni di terze parti non controllate. Non sostituiscono il codice sicuro, ma riducono il raggio d'impatto quando qualcosa sfugge.

L'obiettivo operativo non e raggiungere un punteggio perfetto su un benchmark pubblico. L'obiettivo e mantenere una baseline di header breve e stabile, adatta al vostro stack, che sopravviva ai deployment e venga verificata continuamente piuttosto che configurata una volta e dimenticata.

Baseline di produzione raccomandata

Una solida baseline per PMI inizia con un insieme ristretto di header che hanno ciascuno uno scopo operativo chiaro. Mantenete la policy comprensibile per il vostro team e versionatela come qualsiasi altra configurazione di produzione, in modo che le modifiche siano revisionate e reversibili.

Content-Security-Policy: restringere le fonti di script, stili, connect, immagini e frame alle origini conosciute, poi irrigidire progressivamente.
Strict-Transport-Security: imporre HTTPS con un max-age lungo solo dopo aver verificato che ogni sottodominio puo servire HTTPS in sicurezza.
X-Content-Type-Options: nosniff: prevenire la confusione MIME per script e stili.
Referrer-Policy: ridurre le perdite di dati non necessarie preservando i casi d'uso di analytics giustificati.
Permissions-Policy: disabilitare le capacita del browser non esplicitamente necessarie, come fotocamera, microfono, geolocalizzazione o funzionalita tipo interest-cohort.
Flag Set-Cookie: usare Secure, HttpOnly e SameSite con intenzione esplicita sui cookie di sessione.
Protezioni frame: usare frame-ancestors in CSP o X-Frame-Options quando e richiesta la compatibilita legacy.

Come distribuire gli header senza rompere la produzione

L'errore piu comune e distribuire un CSP ambizioso in modalita enforcement senza sapere cosa carica effettivamente il frontend. Un pattern di rollout piu sicuro consiste nell'inventariare le origini proprie e di terze parti, distribuire una versione compatibile con report in staging, eliminare il rumore, e solo poi applicare in produzione.

Trattate gli header come un contratto applicativo. Se vengono introdotti script di marketing, analytics, widget di chat, fornitori di pagamento o fornitori di IA, la baseline degli header deve essere revisionata nella stessa modifica. Altrimenti si crea un ciclo in cui le funzionalita indeboliscono silenziosamente la policy e nessuno sa chi e responsabile della regressione.

E anche importante differenziare le pagine pubbliche dalle superfici autenticate. Il vostro dashboard, il sito marketing, il flusso di autenticazione e gli endpoint di download file possono richiedere policy leggermente diverse. Un singolo blocco di header copiato su tutte le route e spesso troppo grossolano e causa rotture o eccezioni ingiustificate.

Cosa verificare continuamente

La validazione deve coprire presenza, sintassi e rilevanza di business. Avere un header CSP non basta se contiene sorgenti wildcard ovunque. Avere HSTS non basta se i redirect passano ancora per HTTP o se sottodomini critici vengono omessi involontariamente.

WarDek e utile qui perche trasforma gli header in un segnale operativo invece di uno screenshot occasionale. Potete verificare se mancano header chiave, rilevare regressioni dopo i deployment e collegare la postura degli header al resto della baseline del sito: qualita TLS, cookie, file esposti, CORS e prove di conformita.

I team migliori definiscono responsabili, documentano le eccezioni e mantengono una coda di remediation breve. Un problema di header non dovrebbe restare indefinitamente in un backlog generico. Dovrebbe avere un responsabile, una ragione, un fix target e un passaggio di validazione dopo il deployment.

Errori comuni che i team dovrebbero evitare

Non ottimizzate solo per voti di vanita. Alcuni scanner pubblici premiano impostazioni aggressive che non riflettono i vostri vincoli di business. La vostra missione e una policy duratura che il vostro team comprenda e possa mantenere.

Evitate unsafe-inline e unsafe-eval in CSP a meno che non abbiate un piano di transizione per rimuoverli. Se dovete mantenerli temporaneamente, documentate perche, dove e per quanto tempo. Lo stesso vale per le direttive connect-src o frame-src ampie per strumenti di terze parti che nessuno ha revisionato di recente.

Infine, ricordate che gli header fanno parte di una postura di fiducia piu ampia. Supportano la navigazione sicura, ma non sostituiscono il patching, il controllo degli accessi, il monitoraggio, le pratiche di sviluppo sicuro ne le prove di conformita. Considerateli come un controllo di base da verificare continuamente e spiegare chiaramente ai non specialisti.