Ciao Marco,
una precisazione nel file security.txt non devi obbligatoriamente
scrivere un indirizzo eMail ma un metodo di contatto qualsiasi.
Ad esempio tramite un sito terzo, un modulo di contatto presente sul
sito o qualsiasi altro metodo che preferisci.
Un esempio: https://www.facebook.com/.well-known/security.txt
Andrea
Il 28/02/19 12:42, Marco Ermini ha scritto:
Mah, pensandoci meglio, sono estremamente dubbioso.
L'articolo non approrta, a mio modo di vedere, niente di convincente
in favore dell'uso di security.txt.
Offrire una facile fonte di raccolta email per spam come standard mi
sembra sciocco, e chiamarlo addirittura "security.txt" addirittura
ironico.
Inoltre, in caso di web defacement, non si ha alcuna garanzia della
bontà e validità di quel file. Si rischia di mandare il report a chi
il sito l'ha violato...
Per essere una informazione attendibile ed utile, questo file dovrebbe
per lo meno:
1. essere crittograficamente firmato, con l'hash tenuto off-line in
qualche altro posto
2. in alternativa, dato che l'informazione utile è praticamente grande
quanto l'hash che la firma se non più piccola :-) tenerla direttamente
off-line
Vedrei molto meglio questa informazione in un record DNS, per esempio.
Tralasciando gli aspetti tecnici, a livello pratico l'esperienza
(almeno la mia) suggerisce che se qualcuno vuole riportare una
vulnerabilità in modo responsabile, il modo per farlo lo trova, senza
bisogno di questo file. Se è un ricercatore con esperienza
semplicemente segue gli standard provveduti da ISO/IEC 29147 o dalle
raccomandazioni ENISA; altrimenti, basta contattare un CERT, e di
solito loro sanno dove andare. Oppure sei Travis e mandi un twit ;-)
A parte le battute, non vedo vantaggi, non mi sembra tecnicamente
solido, e possibilmente dannoso.
Cordiali saluti
On Thu, 28 Feb 2019 at 04:37, Stefano Di Paola
<[email protected] <mailto:[email protected]>> wrote:
Non vedo grossi problemi, dato che è una proposta, non ancora
approvata
a livello RFC, che vuole semplicemente suggerire un percorso
comune per
dare informazioni inerenti aspetti di sicurezza.
Un po' come robots.txt ma per argomenti di sicurezza.
Utile alla stregua delle info Whois inerenti la parte security, ma
niente di più a parte il fatto che la controlli con maggiore
semplicità.
Questo articolo linka in fondo vari security.txt:
https://www.michalspacek.com/what-is-security.txt-and-why-you-should-
have-one
<https://www.michalspacek.com/what-is-security.txt-and-why-you-should-have-one>
Quindi IMO:
- molti pro per dare info su sec bug + varie ed eventuali.
- nessun contro se sono info pubbliche.
Stefano
On Tue, 2019-02-26 at 10:11 +0100, roberto diana wrote:
> Salve,
>
> volevo fare un sondaggio per capire se mettere o non mettere in un
> sito il
> file
> security.txt
> https://securitytxt.org/
>
> pro e contro ?
>
> grazie
> :-)
--
...oOOo...oOOo....
Stefano Di Paola
Software & Security Engineer
Owasp Italy R&D Director
CTO MindedSecurity
Web: www.mindedsecurity.com <http://www.mindedsecurity.com>
www.wisec.it <http://www.wisec.it>
blog: blog.mindedsecurity.com <http://blog.mindedsecurity.com>
www.wisec.it <http://www.wisec.it>
Twitter: http://twitter.com/WisecWisec
..................
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
--
Marco Ermini
CISSP, CISA, CISM, CEH, ITIL, PhD
http://www.linkedin.com/in/marcoermini
<https://www.vyte.in/markoer>
