Facciamo solo un'analisi costi-benefici. Aggiungere un security.txt (ed avere una casella security@ presidiata) permette di costruire un canale con chi mi vuole fare delle segnalazioni di sicurezza. La possibilità che un attaccante buchi un server e pasticci con questo file è un'invariante alla presenza di questo file. Quindi, argomenti reali per il "contro", sinceramente non ne vedo, anzi... ben venga che si dia un contatto diretto visto che spesso la gente si deve affidare ai social e di fatto in questo modo fai sapere a tutti che hai trovato un problema. Potremmo mettere quindi questa tra le ragioni per il "pro".
Tema mi bucano il server e faccio l'hijack del punto di contatto. Che vantaggio competitivo ne posso avere come attaccante? Mi posso leggere le segnalazioni dei ricercatori, ma tuttavia sono già dentro, il mio scopo è avanzare nell'incursione verso il dentro dell'azienda. Le segnalazioni che arriverebbero sarebbero potenzialmente su qualcosa che è esposto e che io, attaccante, ho già bucato. Miei 2 cents Paolo Il giorno gio 21 mar 2019 alle ore 21:23 Carlo Pelliccioni < [email protected]> ha scritto: > Claudio, se io sono abituato a cercare informazioni sulla homepage di > www.example.com e qualcuno compromette quella pagina recupererei comunque > informazioni sbagliate. Quindi che io le reperisca dalla home o da un > qualsiasi altro file non cambia assolutamente nulla. Ribadisco il concetto > già espresso da altri: stai facendo un caso su un problema che non esiste :) > > Ciao > > On Thu, Mar 21, 2019 at 11:38 AM Claudio Telmon <[email protected]> > wrote: > >> Forse non sono stato chiaro. La base è che quel file è nello stesso >> contesto delle pagine che potrebbero essere oggetto di attacco, quindi >> in caso di manipolazione delle pagine sarebbe manipolato anche il file. >> Se si crea l'abitudine a cercare informazioni in quel file, allora in >> caso di attacco si recupererebbero informazioni sbagliate. Se invece >> (com'è adesso) nessuno sa neanche che quel file può esistere, allora il >> fatto che un attaccante ci metta informazioni sbagliate è irrilevante. >> Soprattutto, a fronte di un canale così debole per comunicare >> informazioni, che ne sono tanti di migliori, come i campi txt del dns, >> che: >> - in caso di compromissione del server web non sono influenzati >> - sono gestiti molto più direttamente da chi si occupa dell'IT >> dell'organizzazione, mentre un file sul server web sarà modificabile da >> chi sviluppa le pagine, cosa che oltre ad essere un maggior problema in >> termini organizzativi, è anche un ulteriore canale di attacco. >> >> Se tu in tutto questo ci vedi una teoria complottista o qualche >> principio di sicurezza che non ti quadra, magari dimmi dove. Per favore >> però, non "tutto fa, quindi mettiamo anche quel file". >> >> ciao >> >> - Claudio >> >> On 3/21/19 12:06 AM, Gerardo Di Giacomo wrote: >> > Qualche sostenitore del "contro" farebbe la cortesia alla lista di >> > fornire motivazioni valide e giustificate? D'altronde siamo tutti (?) >> > professionisti del settore, dovremmo comunicare in modo appropriato e >> > con un minimo di analisi critica. >> > >> > Finora ho solo letto teorie complottiste e nessun threat reale che >> > giustificherebbe il non usare quello standard. >> > >> > Ringrazio in anticipo in nome di quelli a favore. >> > >> > Gerardo >> > ------------------------------------------------------------------------ >> > *From:* Claudio Telmon <[email protected]> >> > *Sent:* Wednesday, March 20, 2019 5:32 AM >> > *To:* [email protected]; Gabriele Carelli >> > *Subject:* Re: [ml] Pareri su secuirty.txt >> > >> > >> > >> > On 3/19/19 10:12 AM, Gabriele Carelli wrote: >> >> * il fatto che tale pagina possa essere "artefatta" con falsi >> contatti >> >> in caso di attacco, come detto da qualcuno all'inizio della >> >> discussione, è un non problema: in caso di attacco può essere >> >> artefatta anche se prima non esisteva :-) >> > >> > Questo potrebbe succedere se fosse abituale cercare informazioni in quel >> > file. Finché non lo è, le informazioni dovrebbero essere cercate in >> > posti più affidabili. Quindi è proprio meglio che l'abitudine di crearlo >> > e usarlo non ci sia. >> > ________________________________________________________ >> > >> https://nam04.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.sikurezza.org&data=02%7C01%7C%7C9fd7b56b408c4674808108d6ad3ba176%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C636886868951014792&sdata=pHDgkNPPUjJYRi%2FXy%2FR8iXID0t6cAIdodD9Bk%2FiTBwU%3D&reserved=0 >> > - Italian Security Mailing List >> > >> ________________________________________________________ >> http://www.sikurezza.org - Italian Security Mailing List >> >> > > -- > Carlo Pelliccioni > > -- $ cd /pub $ more beer I pirati della sicurezza applicativa: https://codiceinsicuro.it
