Vlákno názorů k článku
Návrh standardu: security.txt je příbuzný robots.txt
od RDa - Kdybych nasel chybu tak kontaktuji webmaster@ ... proc...
-
KateStříbrný podporovatelNo vida, člověk se pořád učí (i když zde by bylo lepší použít security@)
Faktem je, že to problém neřeší stejně dobře jako security.txt – pokud má firma víc domén, z nichž jen jedna je mail doména, nemusí být úplně zjevné kam se obrátit v případě nalezení security problému.Hledat to někde na webu asi optimální není a pokud chybu nahlašuje nějaký lovec s jiným rodným jazykem, hledání security mailu pro něj může být hodně problematické. Nakonec může nahlásit chybu někam kde to zapadne, nebo bude trvat než se dostane ke správnému člověku. Přičemž tohle je zrovna věc kterou by bylo rozumné co nejvíc usnadnit.
-
KateStříbrný podporovatel
A pgp klíč k tomu přesměrovanému e-mailu přibalím jak? :) Tady se těch informací dá prostě přidat víc. TXT záznam je také schůdná cesta, přinejmenším je těžší změnit ho když se útočník nabourá do webu a admin je trotl a umožní uživateli pod kterým běží webserver zapisovat do security.txt
-
KateStříbrný podporovatel
Pointa je v tom že nemusíš, ale můžeš. Etických hackerů co posílají popis úspěšného útoku raději šifrovaný než plaintextem je překvapivě mnoho.
-
. . (neregistrovaný)
prakticky web a email jsou u firem hodně oddělené, k webmaster@ (či jiným podobným chráněným) se jen tak nikdo kromě správce domény nedostane a proč by měl správce domény řešit bezpečnostní problémy na webu?
Nemluvě o problém co se subdoménami? Mám poslat email na webmaster@sub.example.com nebo webmasetr@example.com?
-
KateStříbrný podporovatel
Zajdi do jakékoliv větší firmy nebo korporátu a zkus jejich security adminům vysvětlit, že mají číst i maily webmasterům. Hrozně ti poděkují a pak ti ukážou dveře.
-
j (neregistrovaný)
Fak krasa, kdyz o necem zvani nekdo, do nema absolutne zadnou paru o tom jak veci fungujou ze? Adminuju asi tak stovku domen ... a ze vsech dojde webmaster ... me. Stejne jako postmaster ... zazrak ze?
Kam se obratit je zcela zrejmy naprosto vzdy uz tak nejmin 20 let. A nikde nic hledat netreba. To ze 90% mamrdu neumi prijimat maily stejne jako ty na tom nic nemeni.
Von ti tak nekdo bude resit nejaky tvoje pgp kdyz ti chce reportovat ze to mas rozesrany ... tovizejo. Nebo dokonce zkoumat jestli mas nekde nejakej textak nebo nejakej zaznam v dns ...lol.
-
KateStříbrný podporovatel
Jasně, webmaster je ten samý člověk co řeší security, protože rozumí určitě i backendu, tomu jak je nastavený server, síť a tak, že? :)
pgp lidi při hlášení security chyb docela používají, divil by ses.
-
KateStříbrný podporovatel
Jinak to že je někde nějaký texťák někdo zkoumat bude, pokud se tenhle standard ujme. Stejně jako se dneska řeší robots.txt
Zázrak, že? -
j==jouda (neregistrovaný)
1. ne, neni "fak krasa, kdyz o necem zvani nekdo, do nema absolutne zadnou paru o tom jak veci fungujou", protoze pak tady musime cist prispevky od kdejakyho joudy
2. pokud mail poslany na webmaster@ prijde takovymu joudovi jako jsi ty, pak je ten standard smysluplny dvojnasob
3. standard se tyka security, v clanku je to jasne psane, ale jouda clanky necte, jen zvani
4. pisez ze kam se obratit je zcela zrejmy naprosto vzdy, jen to v 90% pripadu nefunguje? ty jsi fakt jouda
