security.txt: Kontaktinfos für IT-Sicherheitsmeldungen standardisiert

Ein RFC beschreibt, wie Webseiten über die Datei security.txt Kontaktinformationen für Sicherheitsforscher bereitstellen können.

Artikel veröffentlicht am ,
Wen kontaktiert man, wenn man eine Sicherheitslücke gefunden hat? Die Datei security.txt soll dabei helfen.
Wen kontaktiert man, wenn man eine Sicherheitslücke gefunden hat? Die Datei security.txt soll dabei helfen. (Bild: Petar Milošević/Wikimedia Commons/CC-BY-SA 3.0)

Mittels der Datei security.txt können Webseiten Informationen darüber bereitstellen, wie man die Betreiber der Seite erreicht, um eine Sicherheitslücke zu melden. Die Idee gibt es schon länger, jetzt wurde sie als RFC 9116 standardisiert.

Stellenmarkt
  1. Methodenentwickler (m/w/d)
    Heraeus Deutschland GmbH & Co. KG, Hanau
  2. Informatiker / Wirtschaftsinformatiker als Referent Datenbankmanagement (m/w/d)
    TenneT TSO GmbH, Bayreuth
Detailsuche

Wer IT-Sicherheitslücken findet und verantwortungsbewusst handeln möchte, will sie in der Regel an die oder den Verantwortlichen melden. Doch häufig ist das gar nicht so einfach: Viele Webseiten enthalten keinerlei Informationen, wen man in einem solchen Fall kontaktieren soll.

Webseitenbetreiber, die Sicherheitsforschern eine einfache Kontaktmöglichkeit bieten wollen, können diese in einer Datei namens security.txt bekannt machen. Diese Datei sollte im Verzeichnis .well-known auf dem Webhost abgelegt werden. Die URL lautet dem Schema nach also beispielsweise https://www.golem.de/.well-known/security.txt.

Die Datei folgt einem sehr simplen Text-Datenformat, es können etwa Kontakt-Mailadressen oder Verweise auf weitere Kontaktmöglichkeiten angegeben werden.

Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    , virtuell
  2. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    07./08.06.2022, Virtuell
Weitere IT-Trainings

Die Datei soll in jedem Fall über HTTPS ausgeliefert werden. Sie muss laut Spezifikation auf jeden Fall eine Kontaktmöglichkeit und ein Ablaufdatum der Informationen enthalten. Optional können diverse weitere Informationen angegeben werden, etwa ein PGP-Key oder ein Verweis auf Danksagungen an Personen, die bisher Sicherheitsprobleme gemeldet haben. Optional kann die security.txt-Datei mittels PGP signiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Raspberry Pi
Besser gießen mit Raspi und Xiaomi-Pflanzensensor

Wer keinen grünen Daumen hat, kann sich von Sensoren helfen lassen. Komfortabel sind sie aber erst, wenn die Daten automatisch ausgelesen werden.
Eine Anleitung von Thomas Hahn

Raspberry Pi: Besser gießen mit Raspi und Xiaomi-Pflanzensensor
Artikel
  1. Heimkino und Hi-Fi: Onkyo meldet Konkurs an
    Heimkino und Hi-Fi
    Onkyo meldet Konkurs an

    Onkyo hat beim Bezirksgericht Osaka Konkurs angemeldet. Ob das überschuldete Unternehmen gerettet werden kann, ist ungewiss.

  2. Framedeck: Bastler verwandelt Framework Laptop in Retro-Terminal-PC
    Framedeck
    Bastler verwandelt Framework Laptop in Retro-Terminal-PC

    Mainboard und der Akku des Framework Laptop bilden die Grundlage des Framedeck, das seinerseits von einem PC der 80er inspiriert wurde.

  3. Bundesländer: Umweltminister einig über Autobahn-Tempolimit
    Bundesländer
    Umweltminister einig über Autobahn-Tempolimit

    Die Landesumweltminister der Bundesländer haben sich einstimmig für ein Tempolimit auf Autobahnen ausgesprochen. Was fehlt, ist dessen Höhe.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 46% Rabatt auf Mäuse & Tastaturen • Grafikkarten günstig wie nie (u. a. RTX 3080 Ti 12GB 1.285€) • Samsung SSD 1TB (PS5-komp.) günstig wie nie: 143,99€ • Microsoft Surface günstig wie nie • Jubiläumsangebote bei MediaMarkt • Bosch Prof. bis zu 53% günstiger [Werbung]
    •  /