Ciao Marco :) Secondo me va un po' relativizzato il concetto di sicurezza.
Se sei un .mil o equivalente allora ok ti seguo negli aspetti di paranoia e di threat analysis su casi di post exploitation con pivoting e via andare. In situazioni piu' semplici, cassare una info condivisa che molto probabilmente sara' comunque messa in qualche pagina il cui indirizzo e' scelto a caso nella foresta di link di un sito, mi sembra un po' eccessivo :) Non sono sicuro sia stato proposto come un modo per dare informazioni sicure, ma un modo per dare informazioni in un punto semplice da condividere. IMHO se fanno un defacement, il problema e' molto piu' grande che avere il security.txt modificato e quindi ingannare chi vuole usare l'email (già pubblica) contenuta nel file. L'owner che si e' preoccupato di inserire le proprie info in un file ad un path condiviso e poi non si preoccupa di controllare lo stato del suo sito ha, anche in questo caso, un problema piu' grosso secondo me :P Infine, tanto per completare il `ragionamento per assurdo`, inviare un report di una vuln su un sito già violato ci possiamo aspettare che il defacer avrà gia buona idea della issue :> .. piove sul bagnato insomma. La soluzione più semplice in assoluto fu proposta da Rain Forest Puppy nel 2000 ed è l'utilizzo di un indirizzo di default per l'invio email con topic sicurezza https://web.archive.org/web/20000819053824/http://www.wiretrip.net/rfp/policy.html e a seguire altre versioni: https://web.archive.org/web/20110411004929/http://www.wiretrip.net/rfp/policy.html Lui ha proposto di esporre almeno uno di questi indirizzi: security-alert@[MAINTAINER] secure@[MAINTAINER] security@[MAINTAINER] support@[MAINTAINER] info@[MAINTAINER] E' uno standard de facto utilizzato praticamente da tutti i big e non solo da molti anni ormai. Chiaramente ci sono tantissime situazioni in cui la awareness su security e dintorni c'e' ma i mantainer non hanno email verso il dominio, c'e' whois anonimo etc etc. E' vero, ci sono tante soluzioni piu' sicure che soddisfano i casi di abuso piu' improbabili, ma non sempre il gioco vale la candela, no? Personalmente quando non mi hanno risposto su security@.. ho chiesto anche io su twitter e mi e' (quasi) sempre andata bene. In quei pochi casi negativi..well, their loss :). my 2 cents, Ste On Thu, 2019-02-28 at 11:42 +0000, Marco Ermini wrote: > Mah, pensandoci meglio, sono estremamente dubbioso. > > L'articolo non approrta, a mio modo di vedere, niente di convincente > in > favore dell'uso di security.txt. > > Offrire una facile fonte di raccolta email per spam come standard mi > sembra > sciocco, e chiamarlo addirittura "security.txt" addirittura ironico. > > Inoltre, in caso di web defacement, non si ha alcuna garanzia della > bontà e > validità di quel file. Si rischia di mandare il report a chi il sito > l'ha > violato... > > Per essere una informazione attendibile ed utile, questo file > dovrebbe per > lo meno: > > 1. essere crittograficamente firmato, con l'hash tenuto off-line in > qualche > altro posto > 2. in alternativa, dato che l'informazione utile è praticamente > grande > quanto l'hash che la firma se non più piccola :-) tenerla > direttamente > off-line > > Vedrei molto meglio questa informazione in un record DNS, per > esempio. > > Tralasciando gli aspetti tecnici, a livello pratico l'esperienza > (almeno la > mia) suggerisce che se qualcuno vuole riportare una vulnerabilità in > modo > responsabile, il modo per farlo lo trova, senza bisogno di questo > file. Se > è un ricercatore con esperienza semplicemente segue gli standard > provveduti > da ISO/IEC 29147 o dalle raccomandazioni ENISA; altrimenti, basta > contattare un CERT, e di solito loro sanno dove andare. Oppure sei > Travis > e mandi un twit ;-) > > A parte le battute, non vedo vantaggi, non mi sembra tecnicamente > solido, e > possibilmente dannoso. > > > Cordiali saluti > > On Thu, 28 Feb 2019 at 04:37, Stefano Di Paola < > [email protected]> > wrote: > > > Non vedo grossi problemi, dato che è una proposta, non ancora > > approvata > > a livello RFC, che vuole semplicemente suggerire un percorso comune > > per > > dare informazioni inerenti aspetti di sicurezza. > > > > Un po' come robots.txt ma per argomenti di sicurezza. > > > > Utile alla stregua delle info Whois inerenti la parte security, ma > > niente di più a parte il fatto che la controlli con maggiore > > semplicità. > > > > Questo articolo linka in fondo vari security.txt: > > https://www.michalspacek.com/what-is-security.txt-and-why-you-should > > - > > have-one > > < > > https://www.michalspacek.com/what-is-security.txt-and-why-you-should-have-one > > > > > > > Quindi IMO: > > - molti pro per dare info su sec bug + varie ed eventuali. > > - nessun contro se sono info pubbliche. > > > > Stefano > > > > On Tue, 2019-02-26 at 10:11 +0100, roberto diana wrote: > > > Salve, > > > > > > volevo fare un sondaggio per capire se mettere o non mettere in > > > un > > > sito il > > > file > > > security.txt > > > https://securitytxt.org/ > > > > > > pro e contro ? > > > > > > grazie > > > :-) > > > > -- > > ...oOOo...oOOo.... > > Stefano Di Paola > > Software & Security Engineer > > > > Owasp Italy R&D Director > > CTO MindedSecurity > > > > Web: www.mindedsecurity.com www.wisec.it > > blog: blog.mindedsecurity.com www.wisec.it > > Twitter: http://twitter.com/WisecWisec > > .................. > > > > ________________________________________________________ > > http://www.sikurezza.org - Italian Security Mailing List > > > > > > -- ...oOOo...oOOo.... Stefano Di Paola Software & Security Engineer Owasp Italy R&D Director Web: www.wisec.it Twitter: http://twitter.com/WisecWisec .................. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
