security.txt - szabványjavaslat weboldalak biztonsági irányelveinek közzétételére

Titkosítás, biztonság, privát szféra

A security.txt egy szabványjavaslat weboldalak biztonsági irányelveinek, kapcsolati információinak szabványos közzétételére. A security.txt megoldást adna arra a problémára, hogy a független biztonsági kutatók - etikus hackerek - egy-egy sebezhető weboldal felfedezése esetén szabványos helyen, szabványos formátumú dokumentumban megtalálhassák a weboldal kapcsolati információját, a kommunikációs csatornát, a kommunikációhoz használható publikus kulcsot stb.

Részletek itt és itt.

( Huncraft v | 2017. 10. 08., v – 21:53 )

Ohhh.. Csak nem egy új szabvány javaslat? /sarcasm
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Hát, nem tudom melyik nagyobb probléma. Ha be akarnak neked jelenteni egy kritikus hibát, de nem tudnak, vagy az, hogy van egy e-mail címed, amit esetleg spammelnek. Kell elé egy jó spamszűrő és kész. Évek óta kinn van az oldalon publicban egy hup-ot e-mail címem. Nem látom problémának.

De legyen ez egy teszt:

https://hup.hu/.well-known/security.txt

--
trey @ gépház

Tudsz mondani 14 masik szabvanyt ugyanerre a problemara?

Jelenleg - ha egyaltalan jelentik - 2 megoldas van: elkuldik egy random ugyfelszolgalati cimre, ahol nem hozzaertok olvassak, es sokszor lassuak/nem ertik/nem kuldik tovabb/hulyen reagalnak. (ld. BKK esete, vagy Meister vs. netbank.hu)

A masik, hogy szinten az ugyfelszolgalaton keresztul vagy valami publikus kapcsolati cimen keresztul megprobalod kinyomozni a hozzaerto contactjat, es utana neki elmagyarazod tobb-kevesebb sikerrel a problemad.

Egyik sem igazan jo.

Persze ott az eladod/nem jelented/kihasznalod/full public disclosure, stb.. ott nincs ilyen problema. Es ott van a masik kerdes, hogy ha jelentetted, hogy veszed ra a keszitot, hogy felelossegteljesen javitsa a hibat? Ehhez is jo a kozvetlen contact (ha kell plusz info, PoC, stb..).

--
Worrying about killer AI and the superintelligent robots is like worrying about overcrowding on Mars. - Garry Kasparov

Úgy érzem félreértetted amit mondani akartam (bár tény, hogy a szarkasztikus jelleg miatt nem voltam túl deskriptív). A problémám ezzel az, hogy egy részről ezt még szabványnak se merném mondani (ahogy az oldalukon leírták, jelenleg nem is az ("security.txt is currently an Internet draft that has been submitted for RFC review")), más részről meg megint valaki ki akar találni valamit anélkül, hogy erről komolyan a közösséget megkérdezte volna.
Amúgy voltak erre eddig is próbálkozások (security@company.com vagy admin@company.com mint alapértelmezett E-mail címek ilyen jellegű mailekre, esetleg felhívni a közösség figyelmét 1-1 hibára levlistán, IRC-n, vagy valamilyen publikusan ismert csatornán keresztül) csak kb egyik se jött be, mert attól még hogy van egy elgondolás (vagy akár egy szabvány), az még nem kötelez senkit se arra, hogy kövesse is (ahogy az összes előzőnek is ez lett a sorsa)
Amúgy azzal egyet értek, hogy van egy probléma (aminek van egy kis részt technikai, nagy részről meg emberi oldala) amire jó lenne egy megoldást találni, de ezt így és ebben a formában én nem tudom komolyan venni.
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

( uid_20558 | 2017. 11. 06., h – 15:29 )

Érdekes, mintha lett volna már ilyen, bár más célból... Miért nem lehetett ehhez hozzátenni: http://humanstxt.org/

--
Debian 8.8 Jessie, Android 6.0.1 Marshmallow+MIUI 8.2.9.0 Global, OpenWrt 15.05.1 Chaos Calmer, Armbian 5.24, Free MC Boot 1.953+OPL 0.10.15 Daily Build, Boyue C60 20140410 (Gentoo)