security.txt registrieren: Referenz für die Meldung von Sicherheitslücken
(mailarchive.ietf.org)Scheint bei der IETF gerade in Prüfung zu sein (?)
Vor einiger Zeit blieb mir der Kommentar eines Sicherheitsexperten im Kopf, dass es viele Fälle gebe, in denen man zwar eine Sicherheitslücke findet, aber niemanden zum Kontaktieren erreicht und es deshalb einfach dabei belässt.
Dabei geht es darum, den Speicherort und den Inhalt dieser Datei festzulegen; wie nützlich das in Zukunft tatsächlich sein wird, muss man noch abwarten.
1 Kommentare
Das ist wohl die Security-Version von
robots.txt.Our security address
Contact: security@example.com
Encryption: https://example.com/pgp-key.txt
So in etwa kann man das im Root-Verzeichnis ablegen ...
In Deutschland? Korea verlangt, dass auf der Website, etwa im Footer oder in den Nutzungsbedingungen, ein Verantwortlicher für Informationssicherheit angegeben wird; das wirkt wie eine systematischere Methode.
Wenn das am Ende verabschiedet wird, dürfte es vermutlich auch hierzulande eingeführt werden.