La Internet Engineering Task Force (IETF), organismo internazionale formato da tecnici, specialisti e ricercatori interessati all’evoluzione tecnica e tecnologica della rete Internet, ha pubblicato una serie di informazioni ufficiali sul file security.txt
.
Già presentato sotto forma di bozza nel 2017 e utilizzato ormai da anni, il file security.txt
è uno strumento che i ricercatori possono utilizzare per notificare responsabilmente vulnerabilità e altri problemi di sicurezza alle aziende interessate.
Il file deve specificare almeno un indirizzo email da usare per inviare le informazioni tecniche sui bug di sicurezza scoperti, un link alla politica di sicurezza dell’organizzazione, la pagina in cui l’azienda conferma l’esistenza delle vulnerabilità e indica i passi che sono stati compiuti per risolvere il problema. security.txt
può anche ospitare la chiave crittografica pubblica che il ricercatore può utilizzare per segnalare la sua scoperta in modo sicuro.
IETF ha confermato che security.txt
non diventerà uno standard: la pagina RFC 9116 che è stata appena pubblicata è essenzialmente informativa. Tuttavia a fine 2020 quasi 3.000 dei 666.000 siti Web più popolari indicati dall’ormai defunto servizio Alexa (di proprietà di Amazon, si parla del popolare strumento di statistica online, non dell’assistente digitale…) usavano un file security.txt
.
Di solito il file security.txt
è collocato nella directory radice del sito Web oppure in una sottocartella facilmente accessibile come /.well-known
.
Lo stesso elemento dovrebbe indicare anche una “data di scadenza” delle informazioni in esso contenute e può anche fare riferimento a eventuali offerte di lavoro relative alla sicurezza all’interno dell’organizzazione.
Tra i file security.txt
citiamo a titolo esemplificativo quello di Facebook, Google e GitHub.
Gli ideatori del file, Edwin “EdOverflow” Foudil e Yakov Shafranovich, hanno anche sviluppato una pagina che permette di generare file security.txt utilizzabili sui propri progetti Web.