Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

security.txt: Kontaktinfos für IT-Sicherheitsmeldungen standardisiert

Ein RFC beschreibt, wie Webseiten über die Datei security.txt Kontaktinformationen für Sicherheitsforscher bereitstellen können.
/ Hanno Böck
1 Kommentare Auf Google folgen (öffnet im neuen Fenster)
Wen kontaktiert man, wenn man eine Sicherheitslücke gefunden hat? Die Datei security.txt soll dabei helfen. (Bild: Petar Milošević/Wikimedia Commons)
Wen kontaktiert man, wenn man eine Sicherheitslücke gefunden hat? Die Datei security.txt soll dabei helfen. Bild: Petar Milošević/Wikimedia Commons / CC-BY-SA 3.0

Mittels der Datei security.txt(öffnet im neuen Fenster) können Webseiten Informationen darüber bereitstellen, wie man die Betreiber der Seite erreicht, um eine Sicherheitslücke zu melden. Die Idee gibt es schon länger, jetzt wurde sie als RFC 9116(öffnet im neuen Fenster) standardisiert.

Wer IT-Sicherheitslücken findet und verantwortungsbewusst handeln möchte, will sie in der Regel an die oder den Verantwortlichen melden. Doch häufig ist das gar nicht so einfach: Viele Webseiten enthalten keinerlei Informationen, wen man in einem solchen Fall kontaktieren soll.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)
Mitarbeiterinnen / Mitarbeiter (w/m/d) im Bereich IT-Systemmanagement Bundesnachrichtendienst, Berlin (öffnet im neuen Fenster)
Administrator IT-Systembetrieb (m/w/d) Stadtwerke Saarbrücken Netz AG, Saarbrücken (öffnet im neuen Fenster)
Dualer Master mit der SIBE: Stab des Chief Information Security Officers (m/w/d) Allianz ONE - Business Solutions GmbH, Unterföhring (öffnet im neuen Fenster)
Repair Administrator - Luftfahrt / MRO (m/w/d) Nord-Micro GmbH & Co. KG, Frankfurt am Main (öffnet im neuen Fenster)
Software Engineer - Mac / Swift (all genders) STARFACE GmbH', Karlsruhe (öffnet im neuen Fenster)
IT-Administrator (m/w/d) für die IT-Infrastrukturen Stadt Brakel, Brakel (öffnet im neuen Fenster)
Duale Studenten Wirtschaftsinformatik (AWIS) mit Ausbildung zum Fachinformatiker (Anwendungsentwicklung) (w/m/d) Bausparkasse Mainz AG, Mainz (öffnet im neuen Fenster)
Mitarbeiter (w/m/d) im Finanzbereich - Schwerpunkt Solvency II/Meldewesen Mecklenburgische Versicherungs-Gesellschaft a.G., Hannover (öffnet im neuen Fenster)

Webseitenbetreiber, die Sicherheitsforschern eine einfache Kontaktmöglichkeit bieten wollen, können diese in einer Datei namens security.txt bekannt machen. Diese Datei sollte im Verzeichnis .well-known auf dem Webhost abgelegt werden. Die URL lautet dem Schema nach also beispielsweise https://www.golem.de/.well-known/security.txt.

Die Datei folgt einem sehr simplen Text-Datenformat, es können etwa Kontakt-Mailadressen oder Verweise auf weitere Kontaktmöglichkeiten angegeben werden.

Die Datei soll in jedem Fall über HTTPS ausgeliefert werden. Sie muss laut Spezifikation auf jeden Fall eine Kontaktmöglichkeit und ein Ablaufdatum der Informationen enthalten. Optional können diverse weitere Informationen angegeben werden, etwa ein PGP-Key oder ein Verweis auf Danksagungen an Personen, die bisher Sicherheitsprobleme gemeldet haben. Optional kann die security.txt-Datei mittels PGP signiert werden.

Zur Startseite 1 Kommentare

Relevante Themen

SoftwareSoftwareentwicklungSecuritySicherheitslückeWissenInnovation & ForschungTechnologieDatensicherheit