Ontwikkelaars stellen security.txt-standaard voor melden beveiligingsfouten voor – Computer – Nieuws
Een groep ontwikkelaars heeft een officiële RFC-draft aangeleverd voor de security.txt-standaard. Beveiligingsonderzoekers pleiten daar de laatste jaren in toenemende mate voor. Een security.txt-bestand bevat informatie over het benaderen van een site voor het melden van beveiligingslekken.
De Internet Engineering Task Force heeft de tekst van de nieuwe standaard online gezet. Met RFC 9116 is een belangrijke stap gezet om een officiële definitie vast te leggen van wat een security.txt-file moet bevatten. Het gaat voorlopig nog om een document met een informational-status, waarin voorstellen worden vastgelegd. Het betreft dus geen officiële internetstandaard.
In een security.txt-bestand staat belangrijke informatie voor beveiligingsonderzoekers die een kwetsbaarheid hebben ontdekt op een website. Security.txt is een tekstbestand waarin staat bij welk e-mailadres een onderzoekers terecht kan met een melding. Veel bedrijven hebben daar een apart proces voor, zoals een responsibledisclosurebeleid, maar de manier waarop ze daarover informatie online hebben staan verschilt vaak per bedrijf. Een security.txt-file moet een uniforme manier aanbieden voor onderzoekers om die informatie te vinden. Via de RFC-standaard moet het ook mogelijk worden daar geautomatiseerd naar te zoeken.
Het voorstel om de informatie te standaardiseren komt van twee ontwikkelaars, Edwin Foudil en Yakov Shafranovich van securitybedrijf Nightwatch. Ze promoten het gebruik van security.txt al jaren en wijzen erop dat grote bedrijven zoals Google en Facebook al een dergelijke file gebruiken. De oprichters hebben ook een website opgezet die automatisch een bestand kan aanmaken voor gebruikers.
In de nieuwe standaard staat onder meer welke informatie wel en niet moet worden opgenomen in een security.txt-bestand en in welk formaat dat moet. Zo moet er minimaal contactinformatie worden opgenomen. Ook moet er een verloopdatum in staan waarin onderzoekers kunnen zien wanneer een bestand niet meer actueel is. Optionele toevoegingen zijn een PGP-sleutel, een link naar het disclosurebeleid en naar een pagina met bedankjes aan andere onderzoekers, een voorkeur voor een taal en een link naar een pagina met securityvacatures. Ook is het mogelijk alternatieve URL’s in te voeren om bij het bestand te komen. In de standaard is ook opgenomen dat bedrijven die in de /.well-known-directory moeten plaatsen.
Giliam Budel is bij InternetBlabla.nl betrokken sinds 2020. Giliam is opgegroeid in een klein dorp nabij Utrecht. Ze verhuisde naar Breda om te studeren. Voordat ze betrokken raakte bij InternetBlaBla.nl heeft Giliam even als freelance journalist gewerkt bij een aantal radio stations. Daar versloeg ze politieke en economische verhalen met een digitale component.
