security.txt: Kontaktinfos für IT-Sicherheitsmeldungen standardisiert
Ein RFC beschreibt, wie Webseiten über die Datei security.txt Kontaktinformationen für Sicherheitsforscher bereitstellen können.
Mittels der Datei security.txt können Webseiten Informationen darüber bereitstellen, wie man die Betreiber der Seite erreicht, um eine Sicherheitslücke zu melden. Die Idee gibt es schon länger, jetzt wurde sie als RFC 9116 standardisiert.
Wer IT-Sicherheitslücken findet und verantwortungsbewusst handeln möchte, will sie in der Regel an die oder den Verantwortlichen melden. Doch häufig ist das gar nicht so einfach: Viele Webseiten enthalten keinerlei Informationen, wen man in einem solchen Fall kontaktieren soll.
Webseitenbetreiber, die Sicherheitsforschern eine einfache Kontaktmöglichkeit bieten wollen, können diese in einer Datei namens security.txt bekannt machen. Diese Datei sollte im Verzeichnis .well-known auf dem Webhost abgelegt werden. Die URL lautet dem Schema nach also beispielsweise https://www.golem.de/.well-known/security.txt.
Die Datei folgt einem sehr simplen Text-Datenformat, es können etwa Kontakt-Mailadressen oder Verweise auf weitere Kontaktmöglichkeiten angegeben werden.
Die Datei soll in jedem Fall über HTTPS ausgeliefert werden. Sie muss laut Spezifikation auf jeden Fall eine Kontaktmöglichkeit und ein Ablaufdatum der Informationen enthalten. Optional können diverse weitere Informationen angegeben werden, etwa ein PGP-Key oder ein Verweis auf Danksagungen an Personen, die bisher Sicherheitsprobleme gemeldet haben. Optional kann die security.txt-Datei mittels PGP signiert werden.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
