security.txt
Security.txt
Naar navigatie springen
Naar zoeken springen
- Onderdeel van
- Lijsten & Verwijzingen
- Contact
- NORA Beheer
- nora@ictu.nl
- Status
- Actueel
- Status is afgeleid van Status bij Forum Standaardisatie (Verplicht (pas toe leg uit)
- Naam
- Security.txt
- ID
- Type
- Wijzigingsdatum
- Nut: Elke dag vinden beveiligingsonderzoekers (ook wel goedwillende of ethische hackers) digitale kwetsbaarheden in websites of IT-systemen. Vaak is het niet duidelijk wáár een beveiligingsonderzoeker een gevonden kwetsbaarheid kan melden. Er gaat daardoor mogelijk kostbare tijd verloren aan het bereiken van de juiste afdeling of persoon binnen de verantwoordelijke organisatie. Het gebruik van de security.txt-standaard kan helpen om dit te voorkomen. De standaard beschrijft hoe een organisatie onder meer contactinformatie kan publiceren die een beveiligingsonderzoeker vervolgens kan gebruiken om een gevonden kwetsbaarheid aan de betreffende organisatie te melden.
- Werking: Met een security.txt-bestand kan een organisatie security-contactinformatie op haar webserver publiceren. Beveiligingsonderzoekers kunnen deze informatie gebruiken om direct contact met de juiste afdeling of persoon binnen de organisatie op te nemen over kwetsbaarheden die zij in de website of IT-systemen van de organisatie hebben gevonden.
Het formaat van het bestand is bedoeld om machinaal en menselijk leesbaar te zijn. De contactinformatie kan een e-mailadres, een telefoonnummer en/of een webpagina (bijvoorbeeld een webformulier) zijn. Merk op dat gepubliceerde contactinformatie openbaar is en ook kan worden misbruikt, bijvoorbeeld om spam te sturen naar een gepubliceerd e-mailadres.
Naast contactinformatie moet het security.txt bestand ook een vervaldatum bevatten. Het is optioneel om ook andere relevante informatie voor beveiligingsonderzoekers op te nemen, zoals een link naar het beleid voor het omgaan met meldingen van beveiligingskwetsbaarheden (meestal Coordinated Vulnerability Disclosure policy genoemd).
- Status op lijst van Forum Standaardisatie: Verplicht (pas toe leg uit)
Waar toepasbaar
- Functioneel toepassingsgebied: security.txt moet worden toegepast op alle systemen die via HTTPS publiek benaderbaar zijn, zodat securitycontactinformatie duidelijk is.
- Organisatorisch werkingsgebied:
Meer informatie
- Beheerorganisatie: IETF
Realiseert
Lijst Open Standaarden voor Pas Toe of Leg Uit