Concordo. Fornire un'informazione in un contesto che potrebbe essere esso stesso parte dello stesso attacco è concettualmente sbagliato. Se qualcuno trova una vulnerabilità ed è in grado di andare a cercare un file txt sul sito, è comunque in grado di andare a cercare un contatto su una fonte più affidabile.
On 2/28/19 12:42 PM, Marco Ermini wrote: > Mah, pensandoci meglio, sono estremamente dubbioso. > > L'articolo non approrta, a mio modo di vedere, niente di convincente in > favore dell'uso di security.txt. > > Offrire una facile fonte di raccolta email per spam come standard mi > sembra sciocco, e chiamarlo addirittura "security.txt" addirittura ironico. > > Inoltre, in caso di web defacement, non si ha alcuna garanzia della > bontà e validità di quel file. Si rischia di mandare il report a chi il > sito l'ha violato... > > Per essere una informazione attendibile ed utile, questo file dovrebbe > per lo meno: > > 1. essere crittograficamente firmato, con l'hash tenuto off-line in > qualche altro posto > 2. in alternativa, dato che l'informazione utile è praticamente grande > quanto l'hash che la firma se non più piccola :-) tenerla direttamente > off-line > > Vedrei molto meglio questa informazione in un record DNS, per esempio. > > Tralasciando gli aspetti tecnici, a livello pratico l'esperienza (almeno > la mia) suggerisce che se qualcuno vuole riportare una vulnerabilità in > modo responsabile, il modo per farlo lo trova, senza bisogno di questo > file. Se è un ricercatore con esperienza semplicemente segue gli > standard provveduti da ISO/IEC 29147 o dalle raccomandazioni ENISA; > altrimenti, basta contattare un CERT, e di solito loro sanno dove > andare. Oppure sei Travis e mandi un twit ;-) > > A parte le battute, non vedo vantaggi, non mi sembra tecnicamente > solido, e possibilmente dannoso. > > > Cordiali saluti > > On Thu, 28 Feb 2019 at 04:37, Stefano Di Paola <[email protected] > <mailto:[email protected]>> wrote: > > Non vedo grossi problemi, dato che è una proposta, non ancora approvata > a livello RFC, che vuole semplicemente suggerire un percorso comune per > dare informazioni inerenti aspetti di sicurezza. > > Un po' come robots.txt ma per argomenti di sicurezza. > > Utile alla stregua delle info Whois inerenti la parte security, ma > niente di più a parte il fatto che la controlli con maggiore > semplicità. > > Questo articolo linka in fondo vari security.txt: > https://www.michalspacek.com/what-is-security.txt-and-why-you-should- > have-one > > <https://www.michalspacek.com/what-is-security.txt-and-why-you-should-have-one> > > Quindi IMO: > - molti pro per dare info su sec bug + varie ed eventuali. > - nessun contro se sono info pubbliche. > > Stefano > > On Tue, 2019-02-26 at 10:11 +0100, roberto diana wrote: > > Salve, > > > > volevo fare un sondaggio per capire se mettere o non mettere in un > > sito il > > file > > security.txt > > https://securitytxt.org/ > > > > pro e contro ? > > > > grazie > > :-) > -- > ...oOOo...oOOo.... > Stefano Di Paola > Software & Security Engineer > > Owasp Italy R&D Director > CTO MindedSecurity > > Web: www.mindedsecurity.com <http://www.mindedsecurity.com> > www.wisec.it <http://www.wisec.it> > blog: blog.mindedsecurity.com <http://blog.mindedsecurity.com> > www.wisec.it <http://www.wisec.it> > Twitter: http://twitter.com/WisecWisec > .................. > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > > > -- > Marco Ermini > > CISSP, CISA, CISM, CEH, ITIL, PhD > http://www.linkedin.com/in/marcoermini > <https://www.vyte.in/markoer> ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
