/https://www.html.it/app/uploads/2017/06/sicurezza-1.png "Security.txt: uno standard per le informazioni di sicurezza di un sito web")
Quando viene definito un protocollo di sicurezza, esso viene generalmente reso pubblico, in modo che ricercatori e hacker possano studiarne tutti i passi, alla ricerca di eventuali vulnerabilità di sicurezza. Infatti, non è possibile definire un protocollo definitivamente sicuro: si possono fare diverse verifica sulla sua robustezza, ma può sempre capitare che qualcuno scopra una vulnerabilità. In quel preciso momento, tale protocollo cesserà istantaneamente di essere sicuro.
Questo problema si ripercuote in molti aspetti della sicurezza informatica. La possibilità che qualcuno scopra una vulnerabilità è infatti sempre concreta, sebbene spesso venga minimizzata il più possibile grazie ad opportune strategie di progettazione dei protocolli. Ma dal momento che il rischio non è mai nullo, sorge la necessità di facilitare, a chi scopre le falle di sicurezza, la comunicazione tempestiva di questo pericolo a chi rischia di subirne le conseguenze.
Security.txt: uno standard per i siti web
Per consentire a ricercatori ed hacker di comunicare facilmente la presenza di una vulnerabilità di sicurezza scoperta su un sito web, alcuni ricercatori hanno definito security.txt. Si tratta di una proposta di standard per uniformare la strutturazione delle informazioni di sicurezza a corredo di un sito web. Queste informazioni includono sicuramente un indirizzo email (per contattare il responsabile del sito), più una serie di informazioni aggiuntive opzionali come una chiave OpenPGP, il link alla pagina con le policy di sicurezza, e magari un ulteriore link per i ringraziamenti ai ricercatori che hanno contribuito alla sicurezza del sito web.
Tutte queste informazioni, secondo la proposta di standard, dovrebbe essere incluse in un file denominato proprio security.txt (da cui il nome dell'intera iniziativa), la cui semplice struttura è esemplificata di seguito (con dati fittizi):
Contact: webmaster@html.it
Expires: Thu, 10 Mar 2022 00:00 +0100
Encryption: https://www.html.it/pgp-key.txt
Acknowledgments: https://www.html.it/acknowledgements.txt
Preferred-Languages: it
Canonical: https://www.html.it/.well-known/security.txt
Policy: https://www.html.it/security-policy.html
Hiring: https://www.html.it/jobs.htmlNell'esempio precedente sono inclusi diversi campi che, secondo lo standard, dovrebbero essere opzionali.
Il file security.txt
La creazione di un file come quello precedente è, come si evince, molto semplice. Il sito ufficiale di security.txt offre comunque una comoda interfaccia per generarne uno in modo semplice e rapido:
Una volta generato, il file security.txt può essere opzionalmente firmato con OpenPGP, per essere poi inserito in una directory anch'essa standard, denominata .well-known e posta nella root del sito che la ospita.
Nell'attesa che si decida se "promuovere" security.txt ad un vero e proprio protocollo standard, è comunque consigliabile implementare questa semplice idea sui nostri siti, vista soprattutto la facilità di realizzazione, ed i potenziali benefici che ne derivano.
/https://www.html.it/app/uploads/2024/07/fujitsu_.jpg)
/https://www.html.it/app/uploads/2024/07/consob.jpg)
/https://www.html.it/app/uploads/2024/07/open-ai-1.jpg)
/https://www.html.it/app/uploads/2024/07/HQ.jpg)