Internet.nl kan websites nu ook testen op aanwezigheid van security.txt
De testtool Internet.nl, een initiatief van het Platform Internetstandaarden, kan websites nu ook op de aanwezigheid van een security.txt-bestand testen. Security.txt is een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden. Beveiligingsonderzoekers kunnen deze informatie gebruiken om direct de juiste afdeling of persoon binnen de organisatie te benaderen over gevonden kwetsbaarheden.
Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Via security.txt moet het proces rond het melden en afhandelen van gevonden beveiligingsproblemen worden gestroomlijnd en versneld.
Eerder dit jaar besloot de Internet Engineering Task Force (IETF) van security.txt een RFC (Request for Comments) te maken. De IETF is een standaardenorganisatie die zich via discussies binnen de internet community bezighoudt met het ontwikkelen van vrijwillige internetstandaarden. Door de publicatie van RFC 9116 is security.txt nu een specificatie geworden, maar geen internetstandaard.
In mei liet het Digital Trust Center (DTC) van het ministerie van Economische Zaken weten positief te zijn over de potentie van security.txt als standaard. De overheidsinstantie zou gaan kijken of het onder het Nederlandse bedrijfsleven bekend moest worden gemaakt. Internet.nl heeft nu in samenwerking met het DTC een nieuw testonderdeel voor security.txt toegevoegd. Via Internet.nl is het mogelijk om web- en mailservers op allerlei standaarden te testen. Security.txt is daar nu ook een onderdeel van geworden.
De test controleert of het security.txt-bestand op de geteste domeinnaam aanwezig is en of de opgenomen informatie het juiste formaat heeft. Voorlopig heeft de security.txt-standaard binnen Internet.nl de aanbevolen status. De resultaten van de security.txt-test wegen nog niet mee in de totaalscore van het testresultaat. Later dit jaar zal de security.txt-test ook worden toegevoegd aan de API en het dashboard van Internet.nl.
Het Forum Standaardisatie onderzoekt momenteel of de security.txt-standaard geschikt is om te verplichten aan de overheid via plaatsing op de 'pas toe of leg uit'-lijst. Dat houdt in dat overheidsinstanties security.txt verplicht moeten toepassen. Het Forum is een adviescommissie die de publieke sector adviseert over het gebruik van open standaarden en de adoptie en naleving van het open standaardenbeleid monitort.
Daarnaast maakt de standaard locatie het mogelijk om geautomatiseerd waarschuwingen te sturen omdat de contactgegevens programmatisch opgehaald kunnen worden. Ik verwacht dat partijen zoals DIVD.nl daar gebruik van kunnen maken bij hun scans.
Ja, graag!
https://www.overheid.nl/.well-known/security.txt
oohnee toch niet....
Een responsible disclosure-beleid is soms moeilijk vindbaar op de website, of het is onduidelijk of een bepaalde domeinnaam bij een bepaalde organisatie hoort. Daarnaast zijn er partijen als DIVD of het Digital Trust Center die soms honderden of duizenden bedrijven moeten informeren over het gebruik van kwetsbare software. De security.txt kan hier in beide gevallen in ondersteunen, want het is zowel eenduidig vindbaar als verwerkbaar voor automatische meldingen. Het 'Policy'-veld in de security.txt-standaard kan vervolgens ook nog eens verwijzen naar het Responsible Disclosure-beleid.
Als laatste zorgt het er ook voor dat er makkelijker gemeten kan worden hoeveel organisaties een responsible disclosure-beleid hebben, zo kan ook gezien worden of bepaalde sectoren hierin achterblijven.
Deze standaard is dus primair voor het eenduidig vindbaar maken van je responsible disclosure-beleid en het standaardiseren van contactinformatie
Voor wat achtergrond over de keuze voor /,well/-known/ zie: https://www.rfc-editor.org/rfc/rfc8615#appendix-A
Omdat die directory gewoon een geaccepteerde internetstandaard is, zie https://en.m.wikipedia.org/wiki/Well-known_URI en RFC 5785. Wordt al jaren voor veel standaarden gebruikt…
Dat was initieel ook de plek, maar dat bleek onhandig te zijn. Op https://securitytxt.org leggen ze prima uit waarom toch? En in de root gaan de meeste hem toch wel vinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
