Mah, pensandoci meglio, sono estremamente dubbioso. L'articolo non approrta, a mio modo di vedere, niente di convincente in favore dell'uso di security.txt.
Offrire una facile fonte di raccolta email per spam come standard mi sembra sciocco, e chiamarlo addirittura "security.txt" addirittura ironico. Inoltre, in caso di web defacement, non si ha alcuna garanzia della bontà e validità di quel file. Si rischia di mandare il report a chi il sito l'ha violato... Per essere una informazione attendibile ed utile, questo file dovrebbe per lo meno: 1. essere crittograficamente firmato, con l'hash tenuto off-line in qualche altro posto 2. in alternativa, dato che l'informazione utile è praticamente grande quanto l'hash che la firma se non più piccola :-) tenerla direttamente off-line Vedrei molto meglio questa informazione in un record DNS, per esempio. Tralasciando gli aspetti tecnici, a livello pratico l'esperienza (almeno la mia) suggerisce che se qualcuno vuole riportare una vulnerabilità in modo responsabile, il modo per farlo lo trova, senza bisogno di questo file. Se è un ricercatore con esperienza semplicemente segue gli standard provveduti da ISO/IEC 29147 o dalle raccomandazioni ENISA; altrimenti, basta contattare un CERT, e di solito loro sanno dove andare. Oppure sei Travis e mandi un twit ;-) A parte le battute, non vedo vantaggi, non mi sembra tecnicamente solido, e possibilmente dannoso. Cordiali saluti On Thu, 28 Feb 2019 at 04:37, Stefano Di Paola <[email protected]> wrote: > Non vedo grossi problemi, dato che è una proposta, non ancora approvata > a livello RFC, che vuole semplicemente suggerire un percorso comune per > dare informazioni inerenti aspetti di sicurezza. > > Un po' come robots.txt ma per argomenti di sicurezza. > > Utile alla stregua delle info Whois inerenti la parte security, ma > niente di più a parte il fatto che la controlli con maggiore > semplicità. > > Questo articolo linka in fondo vari security.txt: > https://www.michalspacek.com/what-is-security.txt-and-why-you-should- > have-one > <https://www.michalspacek.com/what-is-security.txt-and-why-you-should-have-one> > > Quindi IMO: > - molti pro per dare info su sec bug + varie ed eventuali. > - nessun contro se sono info pubbliche. > > Stefano > > On Tue, 2019-02-26 at 10:11 +0100, roberto diana wrote: > > Salve, > > > > volevo fare un sondaggio per capire se mettere o non mettere in un > > sito il > > file > > security.txt > > https://securitytxt.org/ > > > > pro e contro ? > > > > grazie > > :-) > -- > ...oOOo...oOOo.... > Stefano Di Paola > Software & Security Engineer > > Owasp Italy R&D Director > CTO MindedSecurity > > Web: www.mindedsecurity.com www.wisec.it > blog: blog.mindedsecurity.com www.wisec.it > Twitter: http://twitter.com/WisecWisec > .................. > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > -- Marco Ermini CISSP, CISA, CISM, CEH, ITIL, PhD http://www.linkedin.com/in/marcoermini <https://www.vyte.in/markoer>
