image

Zeer weinig Nederlandse websites voorzien van security.txt-bestand

donderdag 26 september 2024, 13:53 door Redactie, 16 reacties

Zeer weinig Nederlandse websites zijn voorzien van een een security.txt-bestand. Volgens cijfers van de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, gaat het om slechts 2,5 procent van de .nl-domeinnamen. Toen er met de metingen op 1 juli 2022 werd begonnen stond de teller op 1,25 procent. Ruim twee jaar later is het percentage net verdubbeld. Vorig jaar waren er 6,3 miljoen .nl-domeinnamen geregistreerd. Dat zou inhouden dat ruim 157.000 .nl-websites een security.txt-bestand hebben.

SIDN wil vanaf volgend jaar een financiële prikkel voor de toepassing van security.txt opnemen in de Registrar Scorecard (RSC). Dat betekent dat de .nl-registrars straks een kickback krijgen op .nl-domeinnamen waarvan de website een valide 'security.txt'-bestand bevat", aldus de stichting. Security.txt is een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden. Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden.

Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Via security.txt moet het proces rond het melden en afhandelen van gevonden beveiligingsproblemen worden gestroomlijnd en versneld. "Van open standaarden is bekend dat een kritieke massa nodig is om het gebruik op gang te brengen. De incentiveregeling van SIDN is bedoeld als tijdelijke maatregel om de adoptie van specifieke standaarden over die eerste drempel heen te tillen", zo laat de stichting verder weten. Dit najaar zullen de Vereniging van Registrars, SIDN Fonds en SIDN aandacht vragen voor het gebruik van security.txt.

Reacties (16)
26-09-2024, 14:17 door Anoniem
Hmm, goed punt, misschien moet ik ook even eentje aanmaken voor mijn statische website...

Van open standaarden is bekend dat een kritieke massa nodig is om het gebruik op gang te brengen.
Dat klopt, dit zien we ook met IPv6.
Providers zoals Odido hebben lak aan de uitrol daarvan, met als gevolg dat we het nog niet kunnen gebruiken.
Het is niet zo alsof ze het niet kunnen doen, en toch zijn ze heel hard bezig met uitstellen.
(Ze willen niet innoveren maar geld verdienen. En IPv6 verdient niks voor hun, dus doen ze het niet.)
26-09-2024, 14:28 door Anoniem
Sorry dat ik het moet zeggen maar het zijn gewoon een paar trutten die een telefoonboek bij moeten houden. Op welk IP is een domein te vinden. Verder niks. Het zou een voorbeeld kunnen zijn omdat het .nl volgens mij het eerste tld voor een land was dat werd uitgegeven. Vanwege het sara rekencentrum in Amsterdam. Gaan ze een beetje kleuterjuf zitten spelen. En keuringsdienst van internetwaarden. Waar ze helemaal niet over gaan.

Het is een beetje zielig maar gelukkig heb je ze niet nodig.
26-09-2024, 14:51 door Anoniem
Korting; Hollandse folklore incentive; wortel om een ezel te motiveren om iemands karretje te laten trekken.

Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden.

Ik "denk" dat ik meer last heb van automatische meldingen van onderzoekers (die net zo automatisch bij herhaling denken dat iets een probleem zou zijn), dan dat werkelijk nuttige meldingen mij niet zouden bereiken.
26-09-2024, 15:40 door Anoniem
Hoeveel van de .nl websites zijn van zzp’ers of kleine zelfstandigen die een visitekaartje website hebben met zakelijke gegevens (naw, KVK/BTW nummer, e-mail) en een contactformulier? Mooi eenmalig in elkaar geplakt door een (zzp) designer passend bij of tegelijk gemaakt met de huisstijl, maar als organisatie te klein om een ICT-aanspreekpunt te hebben.

Ik verwacht dat dit soort goed bedoelde initiatieven van SIDN menig website eigenaar niet eens bereiken.
26-09-2024, 15:45 door Anoniem
Door Anoniem: Sorry dat ik het moet zeggen maar het zijn gewoon een paar trutten die een telefoonboek bij moeten houden. Op welk IP is een domein te vinden. Verder niks. Het zou een voorbeeld kunnen zijn omdat het .nl volgens mij het eerste tld voor een land was dat werd uitgegeven. Vanwege het sara rekencentrum in Amsterdam. Gaan ze een beetje kleuterjuf zitten spelen. En keuringsdienst van internetwaarden. Waar ze helemaal niet over gaan.

Het is een beetje zielig maar gelukkig heb je ze niet nodig.

De oprichter van SIDN was zelfs lange tijd van mening dat het internet alleen voor bedrijven en instellingen moest zijn. Deze alleen heersende en alleen beherende kinderjuf verbood dan ook lange tijd dat privé personen een domeinnaam mochten aanvragen. Veel privé-personen zijn voor hun domein toen ook uitgeweken naar buitenlandse domeinen.
26-09-2024, 16:18 door Anoniem
Serieuze partijen weten dondersgoed waar ze melding kunnen maken die sturen een keurig mailtje en vragen of ze hun verhaal verder mogen toelichten. We hebben al decenia geen security.txt nodig gehad om bereikbaar te zijn voor partijen en andersom. Kan de nuttige meldingen op twee handen tellen die wij indivudeel hebben ontvangen in decinia vs wat we zelf al als nieuws alerts monitoren of consultants voor inschakelen.

Meeste is quickscan troep waar je echt niks mee kan zeker als je al goede eigen monitoring platforms bezit en de echt waardevolle meldingen gaan niet naar indivudele sites maar naar ISP's of software makers.

En als SIDN dit zo graag wil het zich ook wel eens houden aan de afspraken over wat er in een security.txt staat

A "security.txt" file MUST only apply to the domain or IP address in
the URI used to retrieve it, not to any of its subdomains or parent
domains. A "security.txt" file MAY also apply to products and
services provided by the organization publishing the file.
Dus niet wat SIDN doet zeggen
# Please validate if you have the right security.txt file before using the information below.
# Most of our other websites will redirect to this central file,

Je hoort ook niet je algemene solicitatie links er in the plempen enkel wat security related it.

Field Name: Hiring
Description: link to the vendor's security-related job positions
Multiple Appearances: yes
Status: current
Change controller: IETF
Reference: RFC 9116
Dus niet
Hiring: https://www.sidn.nl/en/work-at-sidn

Of ander voorbeeld wat dacht je van overheid zelf
https://www.digitaleoverheid.nl/nieuws/standaard-security-txt-nu-verplicht-voor-overheid/

Forum Standaardisatie heeft op 25 mei 2023 de standaard security.txt toegevoegd aan haar ‘Pas toe of leg uit’-lijst. Hiermee zijn Nederlandse gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties verplicht om deze open standaard toe te passen.
Wel heeft digitaleoverheid.nl eentje? nope 404
Heeft digitaltrustcenter.nl eentje? nope 404
Heeft overheid.nl eentje? nope 403 (wtf)
OK laatste poging dan de gene die dit verplicht stelden forumstandaardisatie.nl en nope 403 as well.
Well so much for verplichting hier en dat horen dus eigenlijk volgens overheid dan weer 302s te zijn naar .ncsc.nl/.well-known/security.txt wat again weer niet volgens de afspraken is gezien losse en subdomeinen niet mogen gaan naar een securty.txt buiten hun domein om zoals in RFC 9116 toegelicht.

En dit is exact waarom het dus *niet werkt* omdat mensen hun eigen interpretatie gaan geven aan wat er in moet staan wanneer het wel en niet noodzakelijk is of onnodig moeilijk maken terwijl er duidelijke afspraken over waren gemaakt. En wat hebben we sinds eerste concept 2017 en RFC 9116 in 2022 bereikt ermee? heel weinig.

Dus nee SIDN hou die paar cent korting per domein maar lekker bij je ik hou het wel bij reputabele contacten die ons weten te bereiken omdat ze zakelijke relaties met ons hebben die kunnen connecten naar een incident reporting platform of eigen monitoring via wel bekende kanalen zoals CISA, NIST, en noem maar op.
26-09-2024, 16:44 door Anoniem
Door Anoniem:Ik "denk" dat ik meer last heb van automatische meldingen van onderzoekers (die net zo automatisch bij herhaling denken dat iets een probleem zou zijn), dan dat werkelijk nuttige meldingen mij niet zouden bereiken.

Als je een security.txt wil aanpakken met cryptografische sleutel en al, dan lijkt me dat prima. Maar ik denk net als deze andere lezer dat de meeste website eigenaren beter doen in het weglaten van dit bestand. Het wordt op schaal gebruikt door "onderzoekers" die hun diensten aanprijzen en alarmistische berichten sturen, en niet zelden de grens met oplichterij opzoeken. De meeste niet-techneuten kunnen echt niet een waardevol bericht onderscheiden van deze onzin.
26-09-2024, 20:15 door Anoniem
Door Anoniem: Serieuze partijen weten dondersgoed waar ze melding kunnen maken die sturen een keurig mailtje en vragen of ze hun verhaal verder mogen toelichten.
Waar kan ik dan terecht bij PostNL, Ziggo, Google en de Rabobank?
26-09-2024, 20:54 door Anoniem
Door Anoniem:
De oprichter van SIDN was zelfs lange tijd van mening dat het internet alleen voor bedrijven en instellingen moest zijn. Deze alleen heersende en alleen beherende kinderjuf verbood dan ook lange tijd dat privé personen een domeinnaam mochten aanvragen.

Maar hij vond ook dat ieder bedrijf maar 1 domeinnaam mocht registreren. Was dat maar zo gebleven!
26-09-2024, 22:28 door Anoniem
Heeft security.nl eigenlijk wel security.txt? Volgens mij niet
26-09-2024, 23:10 door Anoniem
Door Anoniem: Serieuze partijen weten dondersgoed waar ze melding kunnen maken die sturen een keurig mailtje en vragen of ze hun verhaal verder mogen toelichten. We hebben al decenia geen security.txt nodig gehad om bereikbaar te zijn voor partijen en andersom. Kan de nuttige meldingen op twee handen tellen die wij indivudeel hebben ontvangen in decinia vs wat we zelf al als nieuws alerts monitoren of consultants voor inschakelen.

Meeste is quickscan troep waar je echt niks mee kan zeker als je al goede eigen monitoring platforms bezit en de echt waardevolle meldingen gaan niet naar indivudele sites maar naar ISP's of software makers.

En als SIDN dit zo graag wil het zich ook wel eens houden aan de afspraken over wat er in een security.txt staat

A "security.txt" file MUST only apply to the domain or IP address in
the URI used to retrieve it, not to any of its subdomains or parent
domains. A "security.txt" file MAY also apply to products and
services provided by the organization publishing the file.
Dus niet wat SIDN doet zeggen
# Please validate if you have the right security.txt file before using the information below.
# Most of our other websites will redirect to this central file,

Je hoort ook niet je algemene solicitatie links er in the plempen enkel wat security related it.

Field Name: Hiring
Description: link to the vendor's security-related job positions
Multiple Appearances: yes
Status: current
Change controller: IETF
Reference: RFC 9116
Dus niet
Hiring: https://www.sidn.nl/en/work-at-sidn

Of ander voorbeeld wat dacht je van overheid zelf
https://www.digitaleoverheid.nl/nieuws/standaard-security-txt-nu-verplicht-voor-overheid/

Forum Standaardisatie heeft op 25 mei 2023 de standaard security.txt toegevoegd aan haar ‘Pas toe of leg uit’-lijst. Hiermee zijn Nederlandse gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties verplicht om deze open standaard toe te passen.
Wel heeft digitaleoverheid.nl eentje? nope 404
Heeft digitaltrustcenter.nl eentje? nope 404
Heeft overheid.nl eentje? nope 403 (wtf)
OK laatste poging dan de gene die dit verplicht stelden forumstandaardisatie.nl en nope 403 as well.
Well so much for verplichting hier en dat horen dus eigenlijk volgens overheid dan weer 302s te zijn naar .ncsc.nl/.well-known/security.txt wat again weer niet volgens de afspraken is gezien losse en subdomeinen niet mogen gaan naar een securty.txt buiten hun domein om zoals in RFC 9116 toegelicht.

En dit is exact waarom het dus *niet werkt* omdat mensen hun eigen interpretatie gaan geven aan wat er in moet staan wanneer het wel en niet noodzakelijk is of onnodig moeilijk maken terwijl er duidelijke afspraken over waren gemaakt. En wat hebben we sinds eerste concept 2017 en RFC 9116 in 2022 bereikt ermee? heel weinig.

Dus nee SIDN hou die paar cent korting per domein maar lekker bij je ik hou het wel bij reputabele contacten die ons weten te bereiken omdat ze zakelijke relaties met ons hebben die kunnen connecten naar een incident reporting platform of eigen monitoring via wel bekende kanalen zoals CISA, NIST, en noem maar op.

De domeinen die je noemt komen prima uit op een valide security.txt, geen idee wat voor check jij doet...
27-09-2024, 09:38 door Anoniem
Door Anoniem:
Door Anoniem: Serieuze partijen weten dondersgoed waar ze melding kunnen maken die sturen een keurig mailtje en vragen of ze hun verhaal verder mogen toelichten.
Waar kan ik dan terecht bij PostNL, Ziggo, Google en de Rabobank?
https://app.zerocopter.com/en/cvd/caff4c53-e588-440b-9b07-c54b8e877c83
https://www.ziggo.nl/klantenservice/internet-wifi/veiligheid/meldpunt-beveiligingslekken
bughunters.google.com/report
https://hackerone.com/6f26eb8c-3646-48d0-a088-43296e1973ce/embedded_submissions/new
27-09-2024, 10:15 door Anoniem
Door Anoniem: Hmm, goed punt, misschien moet ik ook even eentje aanmaken voor mijn statische website...

Met Wordpress is dat makkelijk; er is sinds kort een plugin voor die alles voor je automatiseert:

https://wordpress.org/plugins/generate-security-txt/
27-09-2024, 10:21 door Anoniem
Door Anoniem: Serieuze partijen weten dondersgoed waar ze melding kunnen maken die sturen een keurig mailtje Of ander voorbeeld wat dacht je van overheid zelf

Wel heeft digitaleoverheid.nl eentje? nope 404
Heeft digitaltrustcenter.nl eentje? nope 404
Heeft overheid.nl eentje? nope 403 (wtf)
OK laatste poging dan de gene die dit verplicht stelden forumstandaardisatie.nl en nope 403 as well.
?

https://digitaleoverheid.nl/.well-known/security.txt
https://digitaltrustcenter.nl/.well-known/security.txt
https://overheid.nl/.well-known/security.txt
27-09-2024, 13:17 door Erik van Straten
Door Anoniem: Heeft security.nl eigenlijk wel security.txt? Volgens mij niet
Inderdaad, geen security.txt op de juiste plaats: https://internet.nl/site/security.nl/2975246/#control-panel-31.

Maar verder heeft security.nl haar zaakjes prima op orde, en sowieso staat in https://security.nl/about hoe je contact met de redactie kunt opnemen.
27-09-2024, 14:23 door Anoniem
Door Anoniem: Sorry dat ik het moet zeggen maar het zijn gewoon een paar trutten die een telefoonboek bij moeten houden.

Het is een beetje zielig maar gelukkig heb je ze niet nodig.

Behalve als je naar een .nl-domeinnaam wil op internet...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.