Son stato cosi' contrario da quando e' uscita la draft da contattare
direttamente Benjamin (security lead) e Shafranovich (draft owner)
https://tools.ietf.org/html/draft-foudil-securitytxt-04
persino l'autore della draft ha registrato una marea di pareri contrari.
Se ti controlli la draft
rofessionisti del settore, dovremmo comunicare in modo appropriato e
>> > con un minimo di analisi critica.
>> >
>> > Finora ho solo letto teorie complottiste e nessun threat reale che
>> > giustificherebbe il non usare quello standard.
>> >
>&g
ho solo letto teorie complottiste e nessun threat reale che
> > giustificherebbe il non usare quello standard.
> >
> > Ringrazio in anticipo in nome di quelli a favore.
> >
> > Gerardo
> > ------------
&
e e nessun threat reale che
giustificherebbe il non usare quello standard.
Ringrazio in anticipo in nome di quelli a favore.
Gerardo
From: Claudio Telmon
Sent: Wednesday, March 20, 2019 5:32 AM
To: ml@sikurezza.org; Gabriele Carelli
Subject: Re: [ml] Pareri su se
On 3/19/19 10:12 AM, Gabriele Carelli wrote:
> * il fatto che tale pagina possa essere "artefatta" con falsi contatti
> in caso di attacco, come detto da qualcuno all'inizio della
> discussione, è un non problema: in caso di attacco può essere
> artefatta anche se prima non
Sinceramente non capisco i "contro" che sono stati elencati:
- la scansione riportata sotto proviene dall'IP 94.102.49.193 che
appartiene al servizio shodan.io. Uno può anche considerare tale
servizio come "malevolo" ma per per è meritorio ed estremamente utile,
niente di malevolo
Ma davvero siete preoccupati per un file il cui contenuto è controllato al 100%
da voi e che comunque contiene informazioni pubbliche e di interesse pubblico?
On Mar 18, 2019, at 10:30 AM, roberto diana
mailto:roberto.di...@gmail.com>> wrote:
Ciao e vero quello che dici però come ha detto qual
Ciao e vero quello che dici però come ha detto qual che altro non per forza
devi mettere un indirizzo mail o dare numeri di telefono o nomi di persone
può reindirizzare ad link o altro ... Detto ciò quello che hai indicato è
comunque un problema concreto e da gestire
Il lun 18 mar 2019, 17:27
Buongiorno a tutti,
ho seguìto l’interessante discussione sulle implicazioni di security.txt,
concordo con Marco Ermini che evidenzia i rischi di questa iniziativa, volevo
segnalare
un caso pratico: abbiamo cominciato a riscontrare sui nostri sistemi richieste
come queste, provenienti da IP
Ciao Sandro,
Sandro Fontana writes:
> [...]
> personalmente non ho mai capito neppure robot.txt, se non come una buona
> indicazione su dove andare a ficcanasare
> [...]
Almeno in alcuni casi - se rispettato - potrebbe risparmiare al
web crawler di mettersi in un limbo di pagine dinamiche e
Ciao Marco,
una precisazione nel file security.txt non devi obbligatoriamente
scrivere un indirizzo eMail ma un metodo di contatto qualsiasi.
Ad esempio tramite un sito terzo, un modulo di contatto presente sul
sito o qualsiasi altro metodo che preferisci.
Un esempio:
On 28 Feb 2019, at 12:42, Marco Ermini wrote:
> Mah, pensandoci meglio, sono estremamente dubbioso.
>
> L'articolo non approrta, a mio modo di vedere, niente di convincente in
> favore dell'uso di security.txt.
>
> Offrire una facile fonte di raccolta email per spam come standard mi sembra
>
conta poco, ma sono d’accordo anche io
personalmente non ho mai capito neppure robot.txt, se non come una buona
indicazione su dove andare a ficcanasare
S
skype/twitter: sinetqnlap
http://www.linkedin.com/in/sfontana
> Il giorno 1 mar 2019, alle ore 09:11, Claudio Telmon ha
> scritto:
>
Il 28/02/19 18:03, Stefano Di Paola ha scritto:
> Ciao Marco :)
>
> Secondo me va un po' relativizzato il concetto di sicurezza.
>
> Se sei un .mil o equivalente allora ok ti seguo negli aspetti di
> paranoia e di threat analysis su casi di post exploitation con pivoting
> e via andare.
>
> In
Concordo. Fornire un'informazione in un contesto che potrebbe essere
esso stesso parte dello stesso attacco è concettualmente sbagliato.
Se qualcuno trova una vulnerabilità ed è in grado di andare a cercare un
file txt sul sito, è comunque in grado di andare a cercare un contatto
su una fonte più
0 PM
> To: ml@sikurezza.org
> Subject: R: [ml] Pareri su secuirty.txt
>
> Interessante.
> Non sapevo dell’iniziativa. Da seguire.
> Probabilmente poco attinente al mondo del web commerciale; ma utile a livello
> tecnico e perché no … a livello reputazionale.
>
> Da: roberto di
27, 2019 1:30 PM
To: ml@sikurezza.org
Subject: R: [ml] Pareri su secuirty.txt
Interessante.
Non sapevo dell’iniziativa. Da seguire.
Probabilmente poco attinente al mondo del web commerciale; ma utile a livello
tecnico e perché no … a livello reputazionale.
Da: roberto diana
Inviato: martedì
Ciao Marco :)
Secondo me va un po' relativizzato il concetto di sicurezza.
Se sei un .mil o equivalente allora ok ti seguo negli aspetti di
paranoia e di threat analysis su casi di post exploitation con pivoting
e via andare.
In situazioni piu' semplici, cassare una info condivisa che molto
Il giorno gio 28 feb 2019 alle ore 16:47 Marco Ermini <
marco.erm...@gmail.com> ha scritto:
Inoltre, in caso di web defacement, non si ha alcuna garanzia della bontà e
> validità di quel file. Si rischia di mandare il report a chi il sito l'ha
> violato...
>
Bingo.
Mah, pensandoci meglio, sono estremamente dubbioso.
L'articolo non approrta, a mio modo di vedere, niente di convincente in
favore dell'uso di security.txt.
Offrire una facile fonte di raccolta email per spam come standard mi sembra
sciocco, e chiamarlo addirittura "security.txt" addirittura
Interessante.
Non sapevo dell’iniziativa. Da seguire.
Probabilmente poco attinente al mondo del web commerciale; ma utile a livello
tecnico e perché no … a livello reputazionale.
Da: roberto diana
Inviato: martedì 26 febbraio 2019 10:12
A: ml@sikurezza.org
Oggetto: [ml] Pareri su secuirty.txt
Non è uno standard, è una proposta di standard.
Pro: può servire a contattarti. Contro: può farti raccattare spam.
On Tue, 26 Feb 2019 at 09:47, roberto diana wrote:
> Salve,
>
> volevo fare un sondaggio per capire se mettere o non mettere in un sito il
> file
> security.txt
>
Non vedo grossi problemi, dato che è una proposta, non ancora approvata
a livello RFC, che vuole semplicemente suggerire un percorso comune per
dare informazioni inerenti aspetti di sicurezza.
Un po' come robots.txt ma per argomenti di sicurezza.
Utile alla stregua delle info Whois inerenti la
Forse perché nelle info restituite da whois per i vari domini c'è anche il
riferimento del contatto tecnico.
vince
On Wed, Feb 27, 2019, 06:47 roberto diana wrote:
> Infatti neanche io, però noto che non è tanto diffusa come pratica.
> Quindi mi chiedevo il perché e se c era qualche motivo a
Sinceramente penso sia un questione di poca pubblicità, seguo corsi di
programmazione per web application ultimamente, ma nelle best practice di
security non si cita per nulla.
Forse sarebbe da mettere più in rilievo.
--
Marco B.
"I tempi degli uomini non sono i tempi di Dio."
Infatti neanche io, però noto che non è tanto diffusa come pratica. Quindi
mi chiedevo il perché e se c era qualche motivo a me sconosciuto
Il mar 26 feb 2019, 16:27 Andrea Draghetti ha
scritto:
> Favorevole ;) anche perché onestamente Roberto non vedo niente in
> contrario ad inserire tale
Favorevole ;) anche perché onestamente Roberto non vedo niente in
contrario ad inserire tale file...
Andrea
Il 26/02/19 10:11, roberto diana ha scritto:
Salve,
volevo fare un sondaggio per capire se mettere o non mettere in un
sito il file
security.txt
https://securitytxt.org/
pro e
Assolutamente pro: https://codiceinsicuro.it/security.txt :-)
Il giorno mar 26 feb 2019 alle ore 13:07 roberto diana <
roberto.di...@gmail.com> ha scritto:
> Salve,
>
> volevo fare un sondaggio per capire se mettere o non mettere in un sito il
> file
> security.txt
> https://securitytxt.org/
>
>
Salve,
volevo fare un sondaggio per capire se mettere o non mettere in un sito il
file
security.txt
https://securitytxt.org/
pro e contro ?
grazie
:-)
29 matches
Mail list logo