Názory k článku
Návrh standardu: security.txt je příbuzný robots.txt
-
KateStříbrný podporovatelNo vida, člověk se pořád učí (i když zde by bylo lepší použít security@)
Faktem je, že to problém neřeší stejně dobře jako security.txt – pokud má firma víc domén, z nichž jen jedna je mail doména, nemusí být úplně zjevné kam se obrátit v případě nalezení security problému.Hledat to někde na webu asi optimální není a pokud chybu nahlašuje nějaký lovec s jiným rodným jazykem, hledání security mailu pro něj může být hodně problematické. Nakonec může nahlásit chybu někam kde to zapadne, nebo bude trvat než se dostane ke správnému člověku. Přičemž tohle je zrovna věc kterou by bylo rozumné co nejvíc usnadnit.
-
KateStříbrný podporovatel
A pgp klíč k tomu přesměrovanému e-mailu přibalím jak? :) Tady se těch informací dá prostě přidat víc. TXT záznam je také schůdná cesta, přinejmenším je těžší změnit ho když se útočník nabourá do webu a admin je trotl a umožní uživateli pod kterým běží webserver zapisovat do security.txt
-
KateStříbrný podporovatel
Pointa je v tom že nemusíš, ale můžeš. Etických hackerů co posílají popis úspěšného útoku raději šifrovaný než plaintextem je překvapivě mnoho.
-
. . (neregistrovaný)
prakticky web a email jsou u firem hodně oddělené, k webmaster@ (či jiným podobným chráněným) se jen tak nikdo kromě správce domény nedostane a proč by měl správce domény řešit bezpečnostní problémy na webu?
Nemluvě o problém co se subdoménami? Mám poslat email na webmaster@sub.example.com nebo webmasetr@example.com?
-
KateStříbrný podporovatel
Zajdi do jakékoliv větší firmy nebo korporátu a zkus jejich security adminům vysvětlit, že mají číst i maily webmasterům. Hrozně ti poděkují a pak ti ukážou dveře.
-
j (neregistrovaný)
Fak krasa, kdyz o necem zvani nekdo, do nema absolutne zadnou paru o tom jak veci fungujou ze? Adminuju asi tak stovku domen ... a ze vsech dojde webmaster ... me. Stejne jako postmaster ... zazrak ze?
Kam se obratit je zcela zrejmy naprosto vzdy uz tak nejmin 20 let. A nikde nic hledat netreba. To ze 90% mamrdu neumi prijimat maily stejne jako ty na tom nic nemeni.
Von ti tak nekdo bude resit nejaky tvoje pgp kdyz ti chce reportovat ze to mas rozesrany ... tovizejo. Nebo dokonce zkoumat jestli mas nekde nejakej textak nebo nejakej zaznam v dns ...lol.
-
KateStříbrný podporovatel
Jasně, webmaster je ten samý člověk co řeší security, protože rozumí určitě i backendu, tomu jak je nastavený server, síť a tak, že? :)
pgp lidi při hlášení security chyb docela používají, divil by ses.
-
KateStříbrný podporovatel
Jinak to že je někde nějaký texťák někdo zkoumat bude, pokud se tenhle standard ujme. Stejně jako se dneska řeší robots.txt
Zázrak, že? -
j==jouda (neregistrovaný)
1. ne, neni "fak krasa, kdyz o necem zvani nekdo, do nema absolutne zadnou paru o tom jak veci fungujou", protoze pak tady musime cist prispevky od kdejakyho joudy
2. pokud mail poslany na webmaster@ prijde takovymu joudovi jako jsi ty, pak je ten standard smysluplny dvojnasob
3. standard se tyka security, v clanku je to jasne psane, ale jouda clanky necte, jen zvani
4. pisez ze kam se obratit je zcela zrejmy naprosto vzdy, jen to v 90% pripadu nefunguje? ty jsi fakt jouda -
mhepp (neregistrovaný)
Poukd použiješ obfuskaci informace v něm obsaženou...
Například: security <taková ta kyselá ryba s cibulí a párátkem> example <znak používaný pro ukončení věty> com
Lidsky to přečteš a dáš si to dohromady, ale strojově to půjde těžko, hlavně když popustíš uzdu fantazii při tvoření.
-
Eda Foudilů (neregistrovaný)
má jakožto vývojář i svoji domovskou stránku (https://edwinfoudil.com/). Ale slovní zásoba nic moc a grafika také trochu jenoduší. Málo v dětství četl a nekreslil pastelkami.
-
Jan Holík (neregistrovaný)
Přijde mi to jako dobrý nápad, protože hlavně když třeba někomu vytvořím web a spravuji mu ho, tak do security.txt mohu uvést sebe a ten, kdo někde objevil bezpečnostní problém, pak může kontaktovat přímo mě a ne klienta a mohu to opravit za prvé rychleji a za druhé budu mít kompletní informace.
Dobré na tom je, že právě nikde na stránce nemusí být uvedený kontakt na administrátora webu, který by byl čitelný pro normální návštěvníky.
Každopádně ono se to dá udělat už teď komentářem v kódu, například Alza tam má dokonce i inzeráty na práci na každé stránce hned za elementem <body> :-D
<!-- Wow, zajímáš se o náš zdrojový kód. Nechceš se k nám přidat a podílet se na jeho vývoji? Dokaž nám, že to umíš lépe. :) Víc najdeš na našich stránkách http://www.alza.cz/kariera/volna-mista#it -->
Každopádně security.txt je lepší v tom, že se dá jeho indexace zakázat, takže kontakty na člověka odpovědného za bezpečnost webu nebudou vypisovat vyhledávače jen tak, ale otevře si je opravdu jen člověk, který ví o tom, že existuje nějaký standard security.txt a tedy má alespoň základní povědomí.
