Komentáře k článku

K čemu je soubor security.txt

Přidejte si na web soubor security.txt a umístěte do něj správné kontaktní údaje, ať lidé, kteří chtějí nahlásit bezpečnostní chyby, nemusí dlouze studovat, kam report poslat. K čemu takové informace jsou, vám ukážu na jednom konkrétním příkladu.

Zpět na článek

15 komentářů k článku K čemu je soubor security.txt:

  1. Mlocik97

    Super, ja mám jednu webovú aplikaci, ale security.txt nepoužívam, miesto toho mám kontakt priamo na stránke. Ale asi to tiež zrejme pridám.

  2. TomasVotruba

    Skvělý nápad!
    Líbí! Má to nějakou oporu na Githubu? Repositář, vzory, příklady, testy?

    Rád bych to sdílel mezi open-source projekty, kde dodávají hotové řešení (sandbox, project)

    1. Michal ŠpačekAutor příspěvku

      Re: Skvělý nápad!
      security.txt je jeden soubor, pro každý web je jiný s jiným obsahem. Na konci článku jsou odkázané reálné soubory pro ukázku i generátor souboru na https://securitytxt.org/

      V souboru by měl být spíš kontakt na majitele nebo provozovatele webu než na dodavatele řešení. Když budu používat nějaký open source projekt a unikne mi databáze, tak bych to rád věděl první :-)

    1. Mlocik97

      Re: Mýliš sa
      Nie je to hovadina, a cieľ kam by mali byť hlásené bezpečnostné bugy a pod. nemusí korešpondovať s e-mailom vo whois. Vlastne často je tomu presne naopak, a cez email z whois často nepoputuje priamo tam kam by mala.

    2. Michal ŠpačekAutor příspěvku

      Re:
      Píšu o tom i v článku:

      Výpis z whois často obsahuje neveřejné údaje nebo pro tento účel nesprávné osoby.

      Pro příklad není třeba chodit daleko: pro michalspacek.cz není ve whois uvedena žádná e-mailová adresa. Dalším příkladem je třeba Facebook, na domain at fb.com by asi neměly chodit hlášení bezpečnostních chyb.

      Ve whois je email, pokud tam vůbec je, na majitele domény, to nemusí být stejná osoba nebo tým, která řeší bezpečnostní chyby.

      1. lenoch

        Re:
        A jak zajistíte, že v security.txt budou správné a aktuální údaje? Podle mě to jednou někdo vytvoří a pak se na to zapomene.
        Je to organizační záležitost, to žádný standard nevyřeší.

Napsat komentář

Tato diskuse je již příliš stará, pravděpodobně již vám nikdo neodpoví. Pokud se chcete na něco zeptat, použijte diskusní server Devel.cz

Zdroj: https://www.zdrojak.cz/?p=21191