Im folgenden Artikel wird
Security.txt aus verschiedenen Perspektiven betrachtet, mit dem Ziel, einen umfassenden Überblick über dieses Thema zu geben. Von seinem Ursprung und seiner Geschichte über seine heutige Relevanz bis hin zu möglichen zukünftigen Auswirkungen möchte dieser Artikel einen vollständigen Überblick über
Security.txt bieten. Es werden seine verschiedenen Facetten analysiert, seine unterschiedlichen Interpretationen untersucht und die damit verbundenen Kontroversen diskutiert. Darüber hinaus werden die Implikationen, die
Security.txt in verschiedenen Kontexten hat, untersucht und Überlegungen und Meinungen von Experten auf diesem Gebiet vorgestellt. Ohne Zweifel wird dieser Artikel versuchen, Licht auf
Security.txt und seine Auswirkungen auf die Gesellschaft zu werfen.
security.txt ist ein mit RFC 9116[1] definierter Request for Comments (RFC), der die Weitergabe sicherheitsrelevanter Informationen betreffend einer Website an dessen Betreiber vereinfachen soll. Dies erfolgt über die Standardisierung der Angabe von relevanten Kontaktinformationen.[2][3] Es handelt sich bei diesem RFC nicht um einen Internetstandard, der den Standardisierungsprozess der Internet Engineering Task Force (IETF) durchlaufen hat. Vielmehr wird er der Kategorie „Informational“ zugeordnet.
Mit dem Request for Comments, der im April 2022 von der IETF veröffentlicht wurde,[1] wird eine Datei namens „security.txt“ definiert, die (ähnlich der „robots.txt“) an einem standardisierten Ort hinterlegt wird und von Menschen wie Maschinen lesbar sein soll. Dadurch soll die Kontaktaufnahme mit dem Websitebetreiber im Fall ermittelter sicherheitsrelevanter Probleme vereinfacht werden.[4]
security.txt-Dateien wurden beispielsweise bereits von Google, GitHub, LinkedIn und Facebook implementiert.[5]
Implementierung
security.txt-Dateien werden im Verzeichnis /.well-known/ (d. h. /.well-known/security.txt) oder im Stammverzeichnis (d. h. /security.txt) einer Website hinterlegt. Die Datei muss über HTTPS als Textdatei hinterlegt werden.
Die Direktiven „Contact“ und „Expires“ sind verpflichtende minimale Angaben in einer security.txt-Datei. Zusätzlich können noch die Direktiven „Encryption“, „Acknowledgements“, „Preferred-Languages“, „Canonical“, „Policy“ und „Hiring“ hinzugefügt werden.
Siehe auch
Weblinks
Einzelnachweise
- ↑ a b
Edwin Foudil, Yakov Shafranovich: RFC: 9116 – A File Format to Aid in Security Vulnerability Disclosure. April 2022 (englisch).
- ↑ John Leyden: Bug-finders’ scheme: Tick-tock, this tech’s tested by flaws… but who the heck do you tell? In: theregister.co.uk. 3. Januar 2018, abgerufen am 14. April 2019 (englisch).
- ↑ Security.txt Standard Proposed, Similar to Robots.txt. BleepingComputer, abgerufen am 14. April 2019 (amerikanisches Englisch).
- ↑ The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities. Security Intelligence, abgerufen am 14. April 2019 (amerikanisches Englisch).
- ↑ Catalin Cimpanu: iOS apps could really benefit from the newly proposed Security.plist standard. ZDNet, 29. November 2019, abgerufen am 16. Juni 2020 (englisch).