Security.txt

Fichier presque magique dont le nom de fichier (son format, et son emplacement) font référence à un draft de l’IETF.

Lorsqu’une vulnérabilité est détectée sur un site web (par un chercheur en sécurité, pentesteur, ou n’importe qui, etc…) pouvoir contacter le responsable du site web est peut-être l’une des premières étapes.

Le contact identifié dans un bas de page web, ou le formulaire contact mène parfois vers un service externalisé, un service comm qui peuvent n’avoir grand chose à faire du signalement d’une vulnérabilité (parfois). Alors l’alerte sur une vulnérabilité tombe aux oubliettes avant qu’elle ne soit exploitée par une autre personne mal intentionnée.

La mise en œuvre de ce fichier security.txt doit permettre de contacter les bonnes personnes pour le signalement d’une vulnérabilité du site web. Pour cela, le fichier doit être déposé dans un répertoire précis, sous un nom précis, avec un contenu de fichier standardisé.

La source de cet article est disponible ici : https://securitytxt.org/

Où mettre ce fichier : dans un répertoire à la racine du site web, sous le nom .well-know

Les informations à mentionner sont à minima :

  • Contact : un email,
  • Expires : la date d'expiration des informations contenues dans le fichier, date au format ISO 8601

En option, les informations peuvent être ajoutées (tous les liens seront en HTTPS) :

  • Encryption : l'url d'une clé de chiffrement destinée au chiffrement de la communication entre le découvrir et le responsable (par exemple, un fichier PGP)
  • Acknowledgements : l'url d'une page de remerciement/reconnaissance du signalement
  • Preferred-Languages : la langue préférée pour l'échange d'information
  • Canonical : l'url du fichier security.txt
  • Policy : l'url de politique de disclosure de l'entreprise pour appréhender les pratiques de reporting attendues par l'entreprise,
  • Hiring : un dernier lien sur les postes ouverts au recrutement dans le domaine de la cybersécurité.

A nouveau, le lien https://securitytxt.org/ est idéal car à jour des dernières évolution du draft, et surtout possède un formulaire qu’il suffit de compléter pour générer le fichier.

Vous voulez identifier si un site web contient ce fichier ? Soit par le navigateur, soit avec cette url : https://gotsecuritytxt.com en spécifiant le domaine requêté :

Par échantillonnage, vous constaterez le peu de fichiers présents sur les principaux sites web FR.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

*

code