Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Security.txt per segnalare le vulnerabilità dei siti Web

L'IETF ha pubblicato un memo contenente le specifiche del file security.txt per la segnalazione delle vulnerabilità di sicurezza.
Security.txt per segnalare le vulnerabilità dei siti Web
L'IETF ha pubblicato un memo contenente le specifiche del file security.txt per la segnalazione delle vulnerabilità di sicurezza.
Link copiato negli appunti

La prima draft dello standard security.txt venne realizzata nel corso del 2017, sono stati quindi necessari circa 5 anni prima della pubblicazione del RFC 9116 con cui il file è diventato ufficialmente un documento, o per meglio dire un formato, accettato dall'IETF (Internet Engineering Task Force) per la disclosure delle vulnerabilità di sicurezza.

Specifiche tecniche del security.txt

Stando a quanto dichiarato dalla Task Force, il file deve essere collocato in una posizione facilmente raggiungibile, per questa ragione si consiglia di salvarlo nella root del Web server o nella directory /.well-known/.

Esso deve contenere anche un indirizzo di posta elettronica a cui segnalare eventuali vulnerabilità, l'indicazione della data in cui l'informazione fornita non è più rilevante e una descrizione esauriente del processo che ha portato all'emersione della problematica di sicurezza.

A completare il quadro devono essere inclusi infine l'URL al file stesso, un link alle policy di sicurezza dell'organizzazione che lo ha pubblicato, i riferimenti ad una pagina per i ringraziamenti ai ricercatori coinvolti e, non ultima, una chiave di cifratura per la trasmissione sicura delle informazioni.

Non è uno standard

È comunque bene precisare che la Request for Comments associata a security.txt è stata postata nelle scorse ore con status e categoria Informational, questo significa che non si tratta ancora di uno standard, e forse non lo sarà mai, ma di un memo a disposizione della community.

A ciò si aggiunga che, come ammesso dagli stessi portavoce della IETF, non è da escludersi che il file security.txt possa essere utilizzato per finalità malevole.

È per esempio possibile che il documento, quando contenuto nello spazio di un sito Web compromesso, possa subire delle modifiche per inviare informazioni riguardanti lo stato della sicurezza ad utenti malintenzionati.

In ogni caso security.txt risulta essere ancora poco utilizzato, stando alle rilevazioni effettuate da Alexa nel 2020 soltanto 3 mila tra i 666 mila siti Internet più visitati lo avrebbe adottato all'interno della propria configurazione.

Limitando l'analisi alle prime 100 mila posizioni il tasso d'adozione non andrebbe oltre il punto percentuale, coinvolgendo però realtà particolarmente rilevanti come Google e Facebook.

Ti consigliamo anche