conta poco, ma sono d’accordo anche io personalmente non ho mai capito neppure robot.txt, se non come una buona indicazione su dove andare a ficcanasare
S skype/twitter: sinetqnlap http://www.linkedin.com/in/sfontana > Il giorno 1 mar 2019, alle ore 09:11, Claudio Telmon <[email protected]> ha > scritto: > > Concordo. Fornire un'informazione in un contesto che potrebbe essere > esso stesso parte dello stesso attacco è concettualmente sbagliato. > Se qualcuno trova una vulnerabilità ed è in grado di andare a cercare un > file txt sul sito, è comunque in grado di andare a cercare un contatto > su una fonte più affidabile. > > > > On 2/28/19 12:42 PM, Marco Ermini wrote: >> Mah, pensandoci meglio, sono estremamente dubbioso. >> >> L'articolo non approrta, a mio modo di vedere, niente di convincente in >> favore dell'uso di security.txt. >> >> Offrire una facile fonte di raccolta email per spam come standard mi >> sembra sciocco, e chiamarlo addirittura "security.txt" addirittura ironico. >> >> Inoltre, in caso di web defacement, non si ha alcuna garanzia della >> bontà e validità di quel file. Si rischia di mandare il report a chi il >> sito l'ha violato... >> >> Per essere una informazione attendibile ed utile, questo file dovrebbe >> per lo meno: >> >> 1. essere crittograficamente firmato, con l'hash tenuto off-line in >> qualche altro posto >> 2. in alternativa, dato che l'informazione utile è praticamente grande >> quanto l'hash che la firma se non più piccola :-) tenerla direttamente >> off-line >> >> Vedrei molto meglio questa informazione in un record DNS, per esempio. >> >> Tralasciando gli aspetti tecnici, a livello pratico l'esperienza (almeno >> la mia) suggerisce che se qualcuno vuole riportare una vulnerabilità in >> modo responsabile, il modo per farlo lo trova, senza bisogno di questo >> file. Se è un ricercatore con esperienza semplicemente segue gli >> standard provveduti da ISO/IEC 29147 o dalle raccomandazioni ENISA; >> altrimenti, basta contattare un CERT, e di solito loro sanno dove >> andare. Oppure sei Travis e mandi un twit ;-) >> >> A parte le battute, non vedo vantaggi, non mi sembra tecnicamente >> solido, e possibilmente dannoso. >> >> >> Cordiali saluti >> >> On Thu, 28 Feb 2019 at 04:37, Stefano Di Paola <[email protected] >> <mailto:[email protected]>> wrote: >> >> Non vedo grossi problemi, dato che è una proposta, non ancora approvata >> a livello RFC, che vuole semplicemente suggerire un percorso comune per >> dare informazioni inerenti aspetti di sicurezza. >> >> Un po' come robots.txt ma per argomenti di sicurezza. >> >> Utile alla stregua delle info Whois inerenti la parte security, ma >> niente di più a parte il fatto che la controlli con maggiore >> semplicità. >> >> Questo articolo linka in fondo vari security.txt: >> https://www.michalspacek.com/what-is-security.txt-and-why-you-should- >> have-one >> >> <https://www.michalspacek.com/what-is-security.txt-and-why-you-should-have-one> >> >> Quindi IMO: >> - molti pro per dare info su sec bug + varie ed eventuali. >> - nessun contro se sono info pubbliche. >> >> Stefano >> >> On Tue, 2019-02-26 at 10:11 +0100, roberto diana wrote: >>> Salve, >>> >>> volevo fare un sondaggio per capire se mettere o non mettere in un >>> sito il >>> file >>> security.txt >>> https://securitytxt.org/ >>> >>> pro e contro ? >>> >>> grazie >>> :-) >> -- >> ...oOOo...oOOo.... >> Stefano Di Paola >> Software & Security Engineer >> >> Owasp Italy R&D Director >> CTO MindedSecurity >> >> Web: www.mindedsecurity.com <http://www.mindedsecurity.com> >> www.wisec.it <http://www.wisec.it> >> blog: blog.mindedsecurity.com <http://blog.mindedsecurity.com> >> www.wisec.it <http://www.wisec.it> >> Twitter: http://twitter.com/WisecWisec >> .................. >> >> ________________________________________________________ >> http://www.sikurezza.org - Italian Security Mailing List >> >> >> >> -- >> Marco Ermini >> >> CISSP, CISA, CISM, CEH, ITIL, PhD >> http://www.linkedin.com/in/marcoermini >> <https://www.vyte.in/markoer> > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > > -- > Questo messaggio e' stato analizzato con Libra ESVA ed e' risultato non > infetto. > Seguire il link qui sotto per segnalarlo come spam: > https://esva.gt50.org/cgi-bin/learn-msg.cgi?id=A706A40405.A056E > > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
