security.txt: Kontaktinfos für IT-Sicherheitsmeldungen standardisiert

Ein RFC beschreibt, wie Webseiten über die Datei security.txt Kontaktinformationen für Sicherheitsforscher bereitstellen können.

Artikel veröffentlicht am ,
Wen kontaktiert man, wenn man eine Sicherheitslücke gefunden hat? Die Datei security.txt soll dabei helfen.
Wen kontaktiert man, wenn man eine Sicherheitslücke gefunden hat? Die Datei security.txt soll dabei helfen. (Bild: Petar Milošević/Wikimedia Commons/CC-BY-SA 3.0)

Mittels der Datei security.txt können Webseiten Informationen darüber bereitstellen, wie man die Betreiber der Seite erreicht, um eine Sicherheitslücke zu melden. Die Idee gibt es schon länger, jetzt wurde sie als RFC 9116 standardisiert.

Stellenmarkt
  1. Cloud DevOps Engineer (m/w/d)
    OEDIV KG, Bielefeld
  2. IT Consultant Microsoft (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
Detailsuche

Wer IT-Sicherheitslücken findet und verantwortungsbewusst handeln möchte, will sie in der Regel an die oder den Verantwortlichen melden. Doch häufig ist das gar nicht so einfach: Viele Webseiten enthalten keinerlei Informationen, wen man in einem solchen Fall kontaktieren soll.

Webseitenbetreiber, die Sicherheitsforschern eine einfache Kontaktmöglichkeit bieten wollen, können diese in einer Datei namens security.txt bekannt machen. Diese Datei sollte im Verzeichnis .well-known auf dem Webhost abgelegt werden. Die URL lautet dem Schema nach also beispielsweise https://www.golem.de/.well-known/security.txt.

Die Datei folgt einem sehr simplen Text-Datenformat, es können etwa Kontakt-Mailadressen oder Verweise auf weitere Kontaktmöglichkeiten angegeben werden.

Golem Karrierewelt
  1. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    11.-14.07.2022, Virtuell
  2. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    07./08.06.2022, Virtuell
Weitere IT-Trainings

Die Datei soll in jedem Fall über HTTPS ausgeliefert werden. Sie muss laut Spezifikation auf jeden Fall eine Kontaktmöglichkeit und ein Ablaufdatum der Informationen enthalten. Optional können diverse weitere Informationen angegeben werden, etwa ein PGP-Key oder ein Verweis auf Danksagungen an Personen, die bisher Sicherheitsprobleme gemeldet haben. Optional kann die security.txt-Datei mittels PGP signiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Künstliche Intelligenz
Wie erklären Menschen die Entscheidungen von Computern?

Je komplexer eine KI, desto schwerer können Menschen ihre Entscheidungen nachvollziehen. Das ängstigt viele. Doch künstliche Intelligenz ist keine Blackbox mehr.
Von Florian Voglauer

Künstliche Intelligenz: Wie erklären Menschen die Entscheidungen von Computern?
Artikel
  1. Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
    Prehistoric Planet
    Danke, Apple, für so grandiose Dinosaurier!

    Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
    Ein IMHO von Marc Sauter

  2. Star Wars: Cal Kestis kämpft in Jedi Survivor weiter
    Star Wars
    Cal Kestis kämpft in Jedi Survivor weiter

    EA hat offiziell den Nachfolger zu Star Wars Jedi Fallen Order angekündigt. Hauptfigur ist erneut Cal Kestis mit seinem Roboterkumpel BD-1.

  3. Fahrgastverband Pro Bahn: Wo das 9-Euro-Ticket sicher gilt
    Fahrgastverband Pro Bahn
    Wo das 9-Euro-Ticket sicher gilt

    Die Farbe der Züge ist entscheidend, was bei der Reiseplanung in der Deutsche-Bahn-App wenig nützt. Dafür laufen Fahrscheinkontrollen ins Leere.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 evtl. bestellbar • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /