Návrh standardu: security.txt je příbuzný robots.txt

18. 9. 2017

Webový vývojář a bezpečnostní odborník Ed Foudil vytvořil internetový standard, který poslal k posouzení do IETF. Snaží se o standardizaci souboru security.txt, který by správci mohli publikovat na svých webech a tím definovat bezpečnostní politiku. Soubor je tak příbuzným robots.txt, což je existující standard definující pravidla pro vyhledávací roboty.

Pokud například někdo objeví na webové stránce bezpečnostní problém, může si stáhnout soubor security.txt a zjistit, jak a komu má problém nahlásit. Podle současného návrhu by soubor mohl vypadat například takhle:

#This is a comment
Contact: security@example.com
Contact: +1-201-555-0123
Contact: https://example.com/security
Encryption: https://example.com/pgp-key.tx...
Acknowledgement: https://example.com/acknowledg...
Disclosure: Full

(Zdroj: Slashdot)

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

18. 9. 2017 10:30

RDa

Kdybych nasel chybu tak kontaktuji webmaster@ ... proc dalsi zbytecny standard?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 10:33

Fuki (neregistrovaný)

webmaster? ja ze uz vymreli asi pred 10 lety :-D
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 10:36

Kate
Stříbrný podporovatel

A webmaster@ je standard?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 12:48

Sten (neregistrovaný)

Ano, je
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 13:23

Kate
Stříbrný podporovatel

No vida, člověk se pořád učí (i když zde by bylo lepší použít security@)
Faktem je, že to problém neřeší stejně dobře jako security.txt – pokud má firma víc domén, z nichž jen jedna je mail doména, nemusí být úplně zjevné kam se obrátit v případě nalezení security problému.

Hledat to někde na webu asi optimální není a pokud chybu nahlašuje nějaký lovec s jiným rodným jazykem, hledání security mailu pro něj může být hodně problematické. Nakonec může nahlásit chybu někam kde to zapadne, nebo bude trvat než se dostane ke správnému člověku. Přičemž tohle je zrovna věc kterou by bylo rozumné co nejvíc usnadnit.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 14:12

Ondrej (neregistrovaný)

no vsak to usnadnuje ze by si mela mit na domene email webmaster a ten presmerovanej kamkoliv. To ze to nemas je tvuj problerm. Pripadne me prijde smysluplnejsi txt zaznam v dns, nez tohle...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 14:39

Kate
Stříbrný podporovatel

A pgp klíč k tomu přesměrovanému e-mailu přibalím jak? :) Tady se těch informací dá prostě přidat víc. TXT záznam je také schůdná cesta, přinejmenším je těžší změnit ho když se útočník nabourá do webu a admin je trotl a umožní uživateli pod kterým běží webserver zapisovat do security.txt
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 22:53

Ondrej (neregistrovaný)

proč bych měl řešit nějakéklíče? Proč bych měl někde vyčítat info z nějakého txt souboru či záznamu? Pokud najdu nějakej problém, odešlu to automaticky na webmaster, root + abuse. To co si s tím čitatel těhlech emailů udělá je jeho věc. Pokud neexistují, smůla.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
19. 9. 2017 7:39

Kate
Stříbrný podporovatel

Pointa je v tom že nemusíš, ale můžeš. Etických hackerů co posílají popis úspěšného útoku raději šifrovaný než plaintextem je překvapivě mnoho.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 19:26

. . (neregistrovaný)

prakticky web a email jsou u firem hodně oddělené, k webmaster@ (či jiným podobným chráněným) se jen tak nikdo kromě správce domény nedostane a proč by měl správce domény řešit bezpečnostní problémy na webu?

Nemluvě o problém co se subdoménami? Mám poslat email na webmaster@sub.example.com nebo webmasetr@example.com?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 22:51

Ondrej (neregistrovaný)

On ten email musí mít na sebe přesměrovaný jen jeden člověk? Nechápu proč by měl tenhle email číst jen správce domény.
Jestli někdo provozuje firemní weby na subdomenách, je to jeho chyba jestli root patří někomu jinému.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
19. 9. 2017 8:12

Kate
Stříbrný podporovatel

Zajdi do jakékoliv větší firmy nebo korporátu a zkus jejich security adminům vysvětlit, že mají číst i maily webmasterům. Hrozně ti poděkují a pak ti ukážou dveře.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 15:43

j (neregistrovaný)

Fak krasa, kdyz o necem zvani nekdo, do nema absolutne zadnou paru o tom jak veci fungujou ze? Adminuju asi tak stovku domen ... a ze vsech dojde webmaster ... me. Stejne jako postmaster ... zazrak ze?

Kam se obratit je zcela zrejmy naprosto vzdy uz tak nejmin 20 let. A nikde nic hledat netreba. To ze 90% mamrdu neumi prijimat maily stejne jako ty na tom nic nemeni.

Von ti tak nekdo bude resit nejaky tvoje pgp kdyz ti chce reportovat ze to mas rozesrany ... tovizejo. Nebo dokonce zkoumat jestli mas nekde nejakej textak nebo nejakej zaznam v dns ...lol.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 15:56

Kate
Stříbrný podporovatel

Jasně, webmaster je ten samý člověk co řeší security, protože rozumí určitě i backendu, tomu jak je nastavený server, síť a tak, že? :)

pgp lidi při hlášení security chyb docela používají, divil by ses.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 16:01

Kate
Stříbrný podporovatel

Jinak to že je někde nějaký texťák někdo zkoumat bude, pokud se tenhle standard ujme. Stejně jako se dneska řeší robots.txt
Zázrak, že?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 16:38

j==jouda (neregistrovaný)

1. ne, neni "fak krasa, kdyz o necem zvani nekdo, do nema absolutne zadnou paru o tom jak veci fungujou", protoze pak tady musime cist prispevky od kdejakyho joudy
2. pokud mail poslany na webmaster@ prijde takovymu joudovi jako jsi ty, pak je ten standard smysluplny dvojnasob
3. standard se tyka security, v clanku je to jasne psane, ale jouda clanky necte, jen zvani
4. pisez ze kam se obratit je zcela zrejmy naprosto vzdy, jen to v 90% pripadu nefunguje? ty jsi fakt jouda
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 10:43

NN (neregistrovaný)

To bude tak akorat darek pro spamery a soubor se bude vesele ignorovat a dopadne stejne..
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 12:00

mhepp (neregistrovaný)

Ten soubor by mel byt lidsky, ne strojne citelny, jestli to chapu dobre...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 12:13

robot (neregistrovaný)

Akoze obrazok, z ktoreho budeme lustit kontakt ako z Captchy?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 13:30

Jarda_P

Jak udelate .txt strojove necitelny?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 14:14

Ondrej (neregistrovaný)

tak to muze bejt pdf po vzoru burese a jeho cenzury ne? :D
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 14:14

Quark66 (neregistrovaný)

.txt je zapsaný do vadného sektoru disku. Anebo zapsaný na úmyslně propíchnutou disketu (kdysi to používali ochranáři software pro ověření pravosti instalačky).
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 21:44

Jarda_P

Zcela trivialni. Zapisu soubor, rozeberu disk a laserem propalim magnetickou vrstvu na spravnem miste. Pak to zase slozim a mam vystarano.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 15:06

mhepp (neregistrovaný)

Poukd použiješ obfuskaci informace v něm obsaženou...

Například: security <taková ta kyselá ryba s cibulí a párátkem> example <znak používaný pro ukončení věty> com

Lidsky to přečteš a dáš si to dohromady, ale strojově to půjde těžko, hlavně když popustíš uzdu fantazii při tvoření.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 15:36

j (neregistrovaný)

2mhepp: Ses tak naivni ... poslu hrst rejze do indie a "strojove" mi prectou par stovek tisic podobnych adres ...

A ty tu adresu zcela urcite nebudes menit co 10 minut.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 21:45

Jarda_P

Blbe bude, kdyz mi chybu bude chtit nahlasit Eskymak. Ten cesky neumi a ryby zere syrove.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
19. 9. 2017 9:32

Zero (neregistrovaný)

taková ta kyselá ryba s cibulí a párátkem
Blbe bude, kdyz mi chybu bude chtit nahlasit Eskymak. Ten cesky neumi a ryby zere syrove.

Tak tam moze dat ako vyzera sushi :P
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
19. 9. 2017 17:21

Aleskva (neregistrovaný)

Tvoji obfuskaci zláme každý blb. Jestli použiješ <> závorky, stačí lehoučký regex jako:
([^<]+)[^>]+>([^<]+)[^>]+>([^\n]+)
$1@$2.$3
na všechny mailadresy obsahující dva < a dva >. A hotovson. Obfuskace obejita :P
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 15:08

Marťas (neregistrovaný)

že ho tam nedám :-)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 13:23

. (neregistrovaný)

To je ale pípovina.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 14:15

Jarda_P

Proc? Je to neco proti necemu? Snad se kvuli tomu civilizace nepolozi.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 9. 2017 14:20

Eda Foudilů (neregistrovaný)

má jakožto vývojář i svoji domovskou stránku (https://edwinfoudil.com/). Ale slovní zásoba nic moc a grafika také trochu jenoduší. Málo v dětství četl a nekreslil pastelkami.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
24. 9. 2017 23:10

Jan Holík (neregistrovaný)

Přijde mi to jako dobrý nápad, protože hlavně když třeba někomu vytvořím web a spravuji mu ho, tak do security.txt mohu uvést sebe a ten, kdo někde objevil bezpečnostní problém, pak může kontaktovat přímo mě a ne klienta a mohu to opravit za prvé rychleji a za druhé budu mít kompletní informace.

Dobré na tom je, že právě nikde na stránce nemusí být uvedený kontakt na administrátora webu, který by byl čitelný pro normální návštěvníky.

Každopádně ono se to dá udělat už teď komentářem v kódu, například Alza tam má dokonce i inzeráty na práci na každé stránce hned za elementem <body> :-D



Každopádně security.txt je lepší v tom, že se dá jeho indexace zakázat, takže kontakty na člověka odpovědného za bezpečnost webu nebudou vypisovat vyhledávače jen tak, ale otevře si je opravdu jen člověk, který ví o tom, že existuje nějaký standard security.txt a tedy má alespoň základní povědomí.

Zasílat nově přidané názory e-mailem

Sdílet

Autor zprávičky

Petr Krčmář

Návrh standardu: security.txt je příbuzný robots.txt

Sdílet

Autor zprávičky

Petr Krčmář

Dále u nás najdete

Vyhláška spadla do spamu, 800 lidí musí znovu podat přiznání

OpenAI uvolnila model GPT-4

Proč zarputilé elektromobilisty dráždí syntetická paliva?

Ulož.to se chce vyhnout osudu Hellspy

COOP v Berouně testuje chytré kamery proti zlodějům

Projekt Balthazar: vzniká přizpůsobitelný evropský notebook

Chytré bezpečnostní kamery dnes vidí mnohem víc než vrátný

Kapavky a syfilis rapidně přibývá. I kvůli mobilním seznamkám

Změňte si hesla, dokud je čas

Bolest v krku je běžným příznakem nachlazení. Často ji léčíme špatně

Co jíst v psychické nepohodě? Tyto potraviny mírní úzkosti a stres

Programovací jazyky: Které jsou momentálně nejpopulárnější?

Konec televizních poplatků na Slovensku se blíží

Podnikání žen? Zájem studentek opadá, Česko dusí stereotypy

Jitka Dvořáková odchází z CZC.cz

Tinnitus: zvuk, který neexistuje, a přesto ho slyšíte. Co s ním?

Deset obskurních funkcí Windows, které vás ohromí

Pozor na Výstřižky ve Windows: mají závažnou bezpečnostní chybu

OSVČ odvádí na dani z příjmů více peněz, než si řada lidí myslí

Může pár let staré úřední PDF ztratit platnost?