image

Voorstel voor "security.txt" bereikt laatste stap in IETF-proces

donderdag 12 december 2019, 13:29 door Redactie, 9 reacties

Het voorstel voor het bestand "security.txt", waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden, heeft de laatste stap in het beslissingsproces van de Internet Engineering Task Force (IETF) bereikt, waardoor het straks mogelijk een internetstandaard wordt.

De IETF is een standaardenorganisatie die zich bezighoudt met het ontwikkelen van vrijwillige internetstandaarden. Twee jaar geleden werd het voorstel voor "security.txt" ingediend. Het gaat om een bestandje waarmee organisaties en websites kunnen aangeven hoe onderzoekers gevonden kwetsbaarheden kunnen rapporteren. Volgens de bedenkers van het voorstel beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Het bestand security.txt moet dit voorkomen.

Google is één van de partijen die al van security.txt gebruikmaakt. De bedenkers van het voorstel lanceerden de website securitytxt.org, waarmee het mogelijk is om een dergelijk tekstbestand te genereren. De Internet Engineering Steering Group (IESG), verantwoordelijk voor het internetstandaardenproces bij de IETF, zal de komende weken een beslissing nemen of security.txt een standaard wordt. Het is daarbij nog mogelijk om tot 6 januari volgend jaar op het voorstel te reageren.

Een ander bekend txt-bestand waar de IETF eerder over besliste is de "Robots exclusion standard", of beter bekend als "robots.txt". Hiermee kunnen websites aangeven welke delen van de site niet door webcrawlers mogen worden gescand en geïndexeerd.

Reacties (9)
12-12-2019, 16:06 door Anoniem
Let als je een vorige versie van de DRAFT op je site hebt gezet even goed op, want de default locatie is gewisseld naar /.well-known/security.txt

0x200
12-12-2019, 16:32 door Anoniem
Door Anoniem: Let als je een vorige versie van de DRAFT op je site hebt gezet even goed op, want de default locatie is gewisseld naar /.well-known/security.txt
Nee dat is slim. Weten ze dan niet dat bestanden en mappen die beginnen met een punt verborgen zijn, en dus niet bedoeld voor algemene inzage? Daarmee is alleen al in de map willen kijken strafbaar, want begint met een punt, en dus is het evident niet de bedoeling dat je erin kijkt, en dus mag het niet van (onze) wet. Waarom houdt de IETF zich niet aan (onze) wet? Dat kan natuurlijk nooit de bedoeling zijn.
12-12-2019, 17:26 door Anoniem
Door Anoniem:
Door Anoniem: Let als je een vorige versie van de DRAFT op je site hebt gezet even goed op, want de default locatie is gewisseld naar /.well-known/security.txt
Nee dat is slim. Weten ze dan niet dat bestanden en mappen die beginnen met een punt verborgen zijn, en dus niet bedoeld voor algemene inzage? Daarmee is alleen al in de map willen kijken strafbaar, want begint met een punt, en dus is het evident niet de bedoeling dat je erin kijkt, en dus mag het niet van (onze) wet. Waarom houdt de IETF zich niet aan (onze) wet? Dat kan natuurlijk nooit de bedoeling zijn.

https://tools.ietf.org/html/rfc8615 .....
12-12-2019, 18:02 door Anoniem
Door Anoniem:
Door Anoniem: Let als je een vorige versie van de DRAFT op je site hebt gezet even goed op, want de default locatie is gewisseld naar /.well-known/security.txt
Nee dat is slim. Weten ze dan niet dat bestanden en mappen die beginnen met een punt verborgen zijn, en dus niet bedoeld voor algemene inzage? Daarmee is alleen al in de map willen kijken strafbaar, want begint met een punt, en dus is het evident niet de bedoeling dat je erin kijkt, en dus mag het niet van (onze) wet. Waarom houdt de IETF zich niet aan (onze) wet? Dat kan natuurlijk nooit de bedoeling zijn.
U begrijpt zelf dat een internationaal orgaan zich niet aan enkel Nederlandse wetgeving zal schikken? Daarnaast neem ik aan dat u zich beseft dat het plaatsen van een specifiek bestand welke volgens internationale standaarden als "publiek" bestempeld is en "bedoeld" om te bekijken een impliciete toestemming in houd? U beseft zich dat de rechtspraak heeft geacht dat het niet linken van een pagina een strafbaar feit (138ab sr) heeft genoemd? Wist u dat geen enkele website naar hun robots.txt verwijzen zal, maar toch Google nog niet vervolgd is?

Doe even normaal zeg.
12-12-2019, 20:54 door Anoniem
Door Anoniem: Doe even normaal zeg.
Whoosh.
13-12-2019, 10:35 door Anoniem
Door Anoniem:Weten ze dan niet dat bestanden en mappen die beginnen met een punt verborgen zijn, en dus niet bedoeld voor algemene inzage?
Als het niet voor algemene inzage is moet je het niet op een webserver zetten. Plus:
Wikipedia: Hidden file and hidden directoryThey are not a security mechanism because access is not restricted - usually the intent is simply to not "clutter" the display of the contents of a directory listing with files the user did not directly create.
13-12-2019, 12:39 door Anoniem
Door Anoniem: Als het niet voor algemene inzage is moet je het niet op een webserver zetten.
Dat denk ik ook. Maar zo denkt de wet er niet over.
14-12-2019, 14:11 door Anoniem
De hamvraag is natuurlijk: http://www.security.nl/.well-known/security.txt, wanneer komt die? :)
14-12-2019, 14:20 door Anoniem
Door Anoniem:Weten ze dan niet dat bestanden en mappen die beginnen met een punt verborgen zijn,

Anoniem loopt wat achter. Maakt niet uit, we praten je graag bij.

De volgende bestanden staan altijd in /.well-known/ :
https://www.iana.org/assignments/well-known-uris/well-known-uris.xhtml

Voorbeeldje:
https://www.eff.org/.well-known/dnt-policy.txt
https://keybase.io/.well-known/keybase.txt
https://mta-sts.google.com/.well-known/mta-sts.txt
etc.etc.etc.

Wil je een let's encypt certificaat? Dan zet je ook in die map je challenge/response bijvoorbeeld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.