image

Ruim 77.000 Nederlandse domeinnamen voorzien van security.txt

donderdag 16 februari 2023, 12:35 door Redactie, 8 reacties

Ruim 77.000 Nederlandse domeinnamen maken inmiddels gebruik van security.txt, een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden. Dat laat het Digital Trust Center (DTC) van het ministerie van Economische Zaken vandaag weten. Vorige week meldde Security.NL dat het Forum Standaardisatie adviseert om het gebruik van security.txt te verplichten voor Nederlandse overheden, zoals het Rijk, provincies, gemeenten en waterschappen en instellingen uit de publieke sector.

Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Via security.txt moet het proces rond het melden en afhandelen van gevonden beveiligingsproblemen worden gestroomlijnd en versneld.

Vorig jaar oktober heeft het DTC samen met een groot aantal ambassadeurs een oproep aan bedrijven en it-dienstverleners gedaan om security.txt te gaan gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand gegroeid naar ruim 77.000, aldus het DTC. Hoewel het Forum Standaardisatie pleit om security.txt voor overheden te verplichten, ziet het Digital Trust Center graag dat ook de private sector dit voorbeeld volgt.

Via Internetconsultatie.nl kan er tot 12 maart op het advies van het Forum Standaardisatie worden gereageerd. "Experts stellen vast dat er voldoende ervaring en draagvlag is binnen de Nederlandse overheid voor security.txt. De standaard heeft een lage drempel voor de (technische) implementatie ervan. Er is ondersteuning beschikbaar (kennis en tools) vanuit de Nederlandse overheid die wordt voortgezet na verplichting van security.txt aan overheden", aldus een uitleg bij de consultatie.

Reacties (8)
16-02-2023, 13:11 door Erik van Straten
Nou nou, al 77.000!

Wat een enorme BS, kunnen we nou niks effectievers bedenken om het internet veiliger te krijgen?
16-02-2023, 14:30 door Anoniem
Door Erik van Straten:
Wat een enorme BS, kunnen we nou niks effectievers bedenken om het internet veiliger te krijgen?
Hear, hear! De totale BS die de laatste tijd als "pas toe of leg uit" wordt opgelegd die geeft sterk de indruk dat men
niet bezig is met de echte problemen, maar met het vullen van de tijd en het uitbrengen van adviezen om de teller
"uitgebrachte adviezen" een zetje te geven en het eigen bestaan te legitimeren...
16-02-2023, 15:05 door Anoniem
Door Erik van Straten: Nou nou, al 77.000!

Wat een enorme BS, kunnen we nou niks effectievers bedenken om het internet veiliger te krijgen?

Door Anoniem:
Door Erik van Straten:
Wat een enorme BS, kunnen we nou niks effectievers bedenken om het internet veiliger te krijgen?
Hear, hear! De totale BS die de laatste tijd als "pas toe of leg uit" wordt opgelegd die geeft sterk de indruk dat men
niet bezig is met de echte problemen, maar met het vullen van de tijd en het uitbrengen van adviezen om de teller
"uitgebrachte adviezen" een zetje te geven en het eigen bestaan te legitimeren...

Twee heel kortzichtige reacties. Het gaat niet om of/of maar om en/en.

Natuurlijk moet je problemen zoveel mogelijk voorkomen. Maar je moet ook je kop niet in het zand steken en erkennen dat het nog altijd fout kan gaan. En dan is het een heel goed idee om iets geregeld te hebben voor meldingen.
17-02-2023, 09:21 door Anoniem
waarschijnlijk de 77000 domeinen van de overheid zelf.
allemaal ingevuld met waarden die generiek zijn aangeleverd

maar zeg nu eerlijjk... je vind een lek in een webapp van de overheid... hoe vind je die security.txt als n00b?

googlen op "contact ministerie van bla" heb je direct een hit... nu moet je gaan kijken naar well-know\security.txt ?
dat snappen de meeste voorbij-fiets mensen niet die per ongeluk iets vinden.

dit is net zo'n dom idee als blauwe borden 200m van de snelweg plaatsen met de melding " rood kruis rijstrook dicht'....
Wanneer mensen 4m boven hun hoofd een groot flashy rood bord niet zien, gaan ze een vaal blauw bord meters van de snelweg ook niet spotten...
17-02-2023, 09:47 door Anoniem
Door Erik van Straten: Nou nou, al 77.000!

Wat een enorme BS, kunnen we nou niks effectievers bedenken om het internet veiliger te krijgen?

Begrijpen jullie wel waar dit om gaat? Het is alleen maar zorgen dat onderzoekers naar één locatie kunnen gaan voor het melden van problemen of bevindingen. Dit voorkomt dat men drie servicedesks moet uitspelen waarna Tiny-de-Herintreder met mad WordPerfect-skills een ticket inschiet in een legacy systeem waarvan alleen de bebaarde bedrijfsgoblin nog weet van heeft.
17-02-2023, 09:50 door Anoniem
Door Anoniem:maar zeg nu eerlijjk... je vind een lek in een webapp van de overheid... hoe vind je die security.txt als n00b?

Hoe waarschijnlijk acht jij de kans dat een n00b een lek vindt in een webapp? Daar komt bij: er valt alleen maar mee te winnen. In het slechtste geval doet het bestandje niet ter zake omdat deze niet gevonden wordt, in het beste geval is iemand veel sneller op de juiste plek.

Met andere woorden: dat gejammer dat het zinloos is, slaat gewoon nergens op.
17-02-2023, 11:45 door Anoniem
Door Anoniem: In het slechtste geval doet het bestandje niet ter zake omdat deze niet gevonden wordt, in het beste geval is iemand veel sneller op de juiste plek..

Nou, nee, in het ergste geval heb je een entry-point gecreerd die voor heel veel mogelijkheden vatbaar kan worden.
Altijd een vaste locatie waar je misschien schrijfrechten kunt zetten? Of waar ze misschien al zijn gezet omdat iemand het bestandje aangepast heeft met een account?
Perfecte locatie voor privilege escalation..
20-02-2023, 10:17 door Anoniem
Door Anoniem:
Door Anoniem: In het slechtste geval doet het bestandje niet ter zake omdat deze niet gevonden wordt, in het beste geval is iemand veel sneller op de juiste plek..

Nou, nee, in het ergste geval heb je een entry-point gecreerd die voor heel veel mogelijkheden vatbaar kan worden.
Altijd een vaste locatie waar je misschien schrijfrechten kunt zetten? Of waar ze misschien al zijn gezet omdat iemand het bestandje aangepast heeft met een account?
Perfecte locatie voor privilege escalation..

Dit zijn drogredeneringen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.