Security.txt - stále ho nemáte?

Víte, o čem dnes budeme psát? Kolikrát se Vám stalo, že jste na webu našli nějakou bezpečnostní chybu a netušili, komu ji nahlásit? Právě toto tento koncept, od loňska RFC9116, řeší.

Princip je jednoduchý, do složky .well-known uložte soubor security.txt, do kterého uložíte základní kontaktní informace pro případ nalezení chyb. Generátor naleznete zde: https://securitytxt.org/ V ČR mezi největší propagátory souboru security.txt patří Michal Špaček Napsal na toto téma několik článků a mj. Alza už ho díky němu implementovala.

Podíváme-li se na pětici největších českých bank, tak soubor security.txt nalezneme jen u ČSOB a MONETA Money Bank.

Podívali jsme se na několik webů, abychom zjistili, jestli se tento koncept dále rozšiřuje:

Z českých ministerstev tento soubor má pouze ministerstvo školství, ostatní nic. Ale podíváme-li se na pětici největších českých bank, tak soubor nalezneme jen u ČSOB a MONETA Money Bank. Druhá jmenovaná má dokonce velice pěkný popis toho, jaký typ chyby je možné hlásit. Podívejte se sami: https://www.moneta.cz/.well-known/MONETA_Responsible_Disclosure_Policy.pdf

Další weby na tom byly velice podobně, tento soubor se objeví spíše výjimečně, místy dotaz na existenci tohoto souboru způsobí "zajímavé" chyby webu. Škoda, snad se s větší osvětou podaří tento stav změnit.