security.txt

security.txt ist ein mit RFC 9116^[1] definierter Request for Comments (RFC), der die Weitergabe sicherheitsrelevanter Informationen betreffend einer Website an dessen Betreiber vereinfachen soll. Dies erfolgt über die Standardisierung der Angabe von relevanten Kontaktinformationen.^[2]^[3] Es handelt sich bei diesem RFC nicht um einen Internetstandard, der den Standardisierungsprozess der Internet Engineering Task Force (IETF) durchlaufen hat. Vielmehr wird er der Kategorie „Informational“ zugeordnet.

Mit dem Request for Comments, der im April 2022 von der IETF veröffentlicht wurde,^[1] wird eine Datei namens „security.txt“ definiert, die (ähnlich der „robots.txt“) an einem standardisierten Ort hinterlegt wird und von Menschen wie Maschinen lesbar sein soll. Dadurch soll die Kontaktaufnahme mit dem Websitebetreiber im Fall ermittelter sicherheitsrelevanter Probleme vereinfacht werden.^[4]

security.txt-Dateien wurden beispielsweise bereits von Google, GitHub, LinkedIn und Facebook implementiert.^[5]

Implementierung[Bearbeiten | Quelltext bearbeiten]

security.txt-Dateien werden im Verzeichnis /.well-known/ (d. h. /.well-known/security.txt) oder im Stammverzeichnis (d. h. /security.txt) einer Website hinterlegt. Die Datei muss über HTTPS als Textdatei hinterlegt werden.

Die Direktiven „Contact“ und „Expires“ sind verpflichtende minimale Angaben in einer security.txt-Datei. Zusätzlich können noch die Direktiven „Encryption“, „Acknowledgements“, „Preferred-Languages“, „Canonical“, „Policy“ und „Hiring“ hinzugefügt werden.

Siehe auch[Bearbeiten | Quelltext bearbeiten]

robots.txt

Weblinks[Bearbeiten | Quelltext bearbeiten]

Website zum Request for Proposal. securitytxt.org
www.pro.wiki/.well-known/security.txt – Beispiel einer security.txt-Datei.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

↑ ^a ^b Edwin Foudil, Yakov Shafranovich: RFC 9116 – A File Format to Aid in Security Vulnerability Disclosure. April 2022 (englisch).
↑ John Leyden: Bug-finders’ scheme: Tick-tock, this tech’s tested by flaws… but who the heck do you tell? In: theregister.co.uk. 3. Januar 2018, abgerufen am 14. April 2019 (englisch).
↑ Security.txt Standard Proposed, Similar to Robots.txt. BleepingComputer, abgerufen am 14. April 2019 (amerikanisches Englisch).
↑ The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities. Security Intelligence, abgerufen am 14. April 2019 (amerikanisches Englisch).
↑ Catalin Cimpanu: iOS apps could really benefit from the newly proposed Security.plist standard. ZDNet, 29. November 2019, abgerufen am 16. Juni 2020 (englisch).

[RFC9116-1] Edwin Foudil, Yakov Shafranovich: RFC 9116 – A File Format to Aid in Security Vulnerability Disclosure. April 2022 (englisch).

[Register-2] John Leyden: Bug-finders’ scheme: Tick-tock, this tech’s tested by flaws… but who the heck do you tell? In: theregister.co.uk. 3. Januar 2018, abgerufen am 14. April 2019 (englisch).

[BleepingComputer-3] Security.txt Standard Proposed, Similar to Robots.txt. BleepingComputer, abgerufen am 14. April 2019 (amerikanisches Englisch).

[4] The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities. Security Intelligence, abgerufen am 14. April 2019 (amerikanisches Englisch).

[Cimpanu_2019-5] Catalin Cimpanu: iOS apps could really benefit from the newly proposed Security.plist standard. ZDNet, 29. November 2019, abgerufen am 16. Juni 2020 (englisch).

[1]

[2]

[3]

[4]

[5]

security.txt

Inhaltsverzeichnis

Implementierung[Bearbeiten | Quelltext bearbeiten]

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

Navigationsmenü

security.txt

Implementierung[Bearbeiten | Quelltext bearbeiten]

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

Navigationsmenü

Suche