security.txt - szabványjavaslat weboldalak biztonsági irányelveinek közzétételére

 ( trey | 2017. október 8., vasárnap - 19:56 )

A security.txt egy szabványjavaslat weboldalak biztonsági irányelveinek, kapcsolati információinak szabványos közzétételére. A security.txt megoldást adna arra a problémára, hogy a független biztonsági kutatók - etikus hackerek - egy-egy sebezhető weboldal felfedezése esetén szabványos helyen, szabványos formátumú dokumentumban megtalálhassák a weboldal kapcsolati információját, a kommunikációs csatornát, a kommunikációhoz használható publikus kulcsot stb.

Részletek itt és itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ohhh.. Csak nem egy új szabvány javaslat? /sarcasm
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Ez inkabb "Best practice", nekem tetszik.

--

"You can hide a semi truck in 300 lines of code"

jah, spammerek is lájkolják ezt :)

Nem kötelező e-mail címet megadni. Lehet kapcsolati oldalt, impresszumot is linkelni, ahol van mondjuk egy form.

--
trey @ gépház

láttam, ezzel együtt sikerült egy jól belőtt példát adni a best practiceben. :)

Hát, nem tudom melyik nagyobb probléma. Ha be akarnak neked jelenteni egy kritikus hibát, de nem tudnak, vagy az, hogy van egy e-mail címed, amit esetleg spammelnek. Kell elé egy jó spamszűrő és kész. Évek óta kinn van az oldalon publicban egy hup-ot e-mail címem. Nem látom problémának.

De legyen ez egy teszt:

https://hup.hu/.well-known/security.txt

--
trey @ gépház

nyilvánvalóan ez előbbi, természetesen. csak mindig gyanúsak az olyan dolgok, amikből ránézésre süt, hogy nem lettek olyan jól átgondolva :)

Igy egy nap utan, hogy halad a teszt?

--

"You can hide a semi truck in 300 lines of code"

Egy nap után? Semmit sem kaptam.

--
trey @ gépház

2017-ben még mindig ott tartunk, hogy a spam ellen a "nem írom ki az e-mail címemet" a megoldás?

nem, nem az a megoldás, csak a spamszűrőnek segít kicsit, hogy kevesebb vacak jöjjön. Nem véletlen kopott ki szegény whois is például, és kapsz helyette az arcodba captchas vackot mindenhol. sajnos az email eléggé fubar, és körbe kell tákolni...

Nem email cimet tennek oda, hanem egy linket egy formra ahol lehetne jelenteni a gondokat.
De jogos felvetes.

--

"You can hide a semi truck in 300 lines of code"

Csinálsz egy egyedi e-mail címet (pl. security@) erre a célra. Csinálsz egy rule-t, hogy ami erre jön és nem PGP titkosított, az -> /dev/null

Problem solved.

--
trey @ gépház

Ezért a kommentért jöttem :)

Tudsz mondani 14 masik szabvanyt ugyanerre a problemara?

Jelenleg - ha egyaltalan jelentik - 2 megoldas van: elkuldik egy random ugyfelszolgalati cimre, ahol nem hozzaertok olvassak, es sokszor lassuak/nem ertik/nem kuldik tovabb/hulyen reagalnak. (ld. BKK esete, vagy Meister vs. netbank.hu)

A masik, hogy szinten az ugyfelszolgalaton keresztul vagy valami publikus kapcsolati cimen keresztul megprobalod kinyomozni a hozzaerto contactjat, es utana neki elmagyarazod tobb-kevesebb sikerrel a problemad.

Egyik sem igazan jo.

Persze ott az eladod/nem jelented/kihasznalod/full public disclosure, stb.. ott nincs ilyen problema. Es ott van a masik kerdes, hogy ha jelentetted, hogy veszed ra a keszitot, hogy felelossegteljesen javitsa a hibat? Ehhez is jo a kozvetlen contact (ha kell plusz info, PoC, stb..).

--
Worrying about killer AI and the superintelligent robots is like worrying about overcrowding on Mars. - Garry Kasparov

Úgy érzem félreértetted amit mondani akartam (bár tény, hogy a szarkasztikus jelleg miatt nem voltam túl deskriptív). A problémám ezzel az, hogy egy részről ezt még szabványnak se merném mondani (ahogy az oldalukon leírták, jelenleg nem is az ("security.txt is currently an Internet draft that has been submitted for RFC review")), más részről meg megint valaki ki akar találni valamit anélkül, hogy erről komolyan a közösséget megkérdezte volna.
Amúgy voltak erre eddig is próbálkozások (security@company.com vagy

mint alapértelmezett E-mail címek ilyen jellegű mailekre, esetleg felhívni a közösség figyelmét 1-1 hibára levlistán, IRC-n, vagy valamilyen publikusan ismert csatornán keresztül) csak kb egyik se jött be, mert attól még hogy van egy elgondolás (vagy akár egy szabvány), az még nem kötelez senkit se arra, hogy kövesse is (ahogy az összes előzőnek is ez lett a sorsa)
Amúgy azzal egyet értek, hogy van egy probléma (aminek van egy kis részt technikai, nagy részről meg emberi oldala) amire jó lenne egy megoldást találni, de ezt így és ebben a formában én nem tudom komolyan venni.
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..