Son stato cosi' contrario da quando e' uscita la draft da contattare direttamente Benjamin (security lead) e Shafranovich (draft owner)
https://tools.ietf.org/html/draft-foudil-securitytxt-04 persino l'autore della draft ha registrato una marea di pareri contrari. Se ti controlli la draft noterai che la PGP signature del security team sarebbe inclusa come URI, che potrebbe essere benissimo un BeeF per hook up in attesa, insomma la struttura che hanno deciso, sembra disegnata ad-hoc per malware e phishing. DNS TXT record sarebbe la mia preferenza, ha tempi tali da renderti conto se ci son cambi e cambi di zona di solito vengono segnalati, cosa che sulla root dovresti avere il FIM e non tutti lo hanno, pensa a un WordPress zero day che cambia tutti i security.txt di colpo per malware distribution. Web con js/iframe/injection e' piu' semplice da venir manipolato che un record DNS. Mi son lamentato che registrare una draft e' un lavoro e storzo esagerato, di risposta Benjamin mi ha detto che per questo motivo hanno ora introdotto il secdispatch, ma solo come proposal, quindi ti tocca ad ogni modo la draft. Da un punto di vista tecnico, comparare la facilita' di manipolare una pagina web, rispetto a un record DNS e' palesemente uno svantaggio, se poi questo non e' un argomento che consideri prioritario, vai contro il principio di Confidentiality, Integrity and Availability. Saluti On 3/21/19 12:06 AM, Gerardo Di Giacomo wrote: > Qualche sostenitore del "contro" farebbe la cortesia alla lista di > fornire motivazioni valide e giustificate? D'altronde siamo tutti (?) > professio nisti del settore, dovremmo comunicare in modo appropriato e > con un minimo di analisi critica. > > Finora ho solo letto teorie complottiste e nessun threat reale che > giustificherebbe il non usare quello standard. > > Ringrazio in anticipo in nome di quelli a favore. > > Gerardo >
