On 28 Feb 2019, at 12:42, Marco Ermini <marco.erm...@gmail.com> wrote: > Mah, pensandoci meglio, sono estremamente dubbioso. > > L'articolo non approrta, a mio modo di vedere, niente di convincente in > favore dell'uso di security.txt. > > Offrire una facile fonte di raccolta email per spam come standard mi sembra > sciocco, e chiamarlo addirittura "security.txt" addirittura ironico.
IMHO si tratta di indirizzi email comunque pubblici, e di scarso valore per uno spammer “generico”. Non è neanche detto che debba essere un indirizzo e-mail, e.g., il security.txt di Facebook riporta una URL a cui effettuare i report (https://www.facebook.com/.well-known/security.txt). > Inoltre, in caso di web defacement, non si ha alcuna garanzia della bontà e > validità di quel file. Si rischia di mandare il report a chi il sito l'ha > violato... [...] Vedrei molto meglio questa informazione in un record DNS, > per esempio. Vero, e c’è una discussione in proposito (https://github.com/securitytxt/security-txt/issues/91). Ma non mi sembra peggio dello stato attuale (e se trovo in security.txt un indirizzo di un altro dominio, mi faccio due domande prima di scrivere!). > Tralasciando gli aspetti tecnici, a livello pratico l'esperienza (almeno la > mia) suggerisce che se qualcuno vuole riportare una vulnerabilità in modo > responsabile, il modo per farlo lo trova, senza bisogno di questo file. Se è > un ricercatore con esperienza semplicemente segue gli standard provveduti da > ISO/IEC 29147 o dalle raccomandazioni ENISA; altrimenti, basta contattare un > CERT, e di solito loro sanno dove andare. Oppure sei Travis e mandi un twit > ;-) Yep, se l’azienda rende a disposizione un punto di contatto, ma tralasciamo..., difatti IMHO i benefici non siano enormi, anche perché l’esistenza del .well-known/security.txt non è così nota. OTOH, il metodo di contatto è abbastanza variabile (security@, secure@, cybersecurity@, product-security@, csirt@, csoc@, soc@, un form su un sito web, ...), soprattutto nel caso di entità piccole \ senza un bounty program consolidato \ siti totalmente in una lingua sconosciuta a chi per qualche ragione ha trovato la vulnerabilità [1] \ ... --- quindi in questi casi security.txt potrebbe essere un (piccolo) vantaggio. Alla fine, svantaggi non ne vedo =) My 2 cents, —Marcello________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List