Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 5 Maggio 2021 07:00
Spesso, quando un ricercatore di sicurezza trova un bug software, deve iniziare una serie di ricerche per comprendere se l’azienda ha attivo un programma di “responsible disclosure” (si tratta di un servizio che permette la divulgazione responsabile delle vulnerabilità tra il ricercatore e l’azienda), se ha un bug-bounty, oppure, nel caso peggiore, andare alla ricerca di una mail di supporto di qualsiasi tipo per contattare l’organizzazione in modo responsabile, e comunicarle i bug software rilevati.
Ma finalmente, forse, tutto questo è finito.
Infatti, è stato definito uno standard dal nome “security.txt”, che non è altro che un file da inserire all’interno della directory “.well-known” (quindi “.well-known/security.txt”), nel quale file saranno presenti tutta una serie di informazioni che permetteranno al ricercatore di sicurezza di instradare al meglio i suoi sforzi, comunicando i bug all’azienda.
In calce, ad esempio, è quanto riportato all’indirizzo https://www.redhotcyber.com/wp-content/uploads/attachments/security.txt relativamente a Big G.
Sull’home page del progetto “security.txt”, precisamente all’interno del sommario, si legge quanto segue:
“Quando i rischi per la sicurezza nei servizi Web vengono scoperti da ricercatori indipendenti che comprendono la gravità del rischio, spesso non hanno i canali per rivelarli correttamente. Di conseguenza, i problemi di sicurezza potrebbero non essere segnalati. security.txt definisce uno standard per aiutare le organizzazioni a definire il processo per i ricercatori di sicurezza per rivelare le vulnerabilità di sicurezza in modo sicuro “.
Infatti lo scopo principale di security.txt è quello di aiutare a rendere le cose più facili per le aziende e i ricercatori di sicurezza quando cercano di proteggere le piattaforme al meglio ed in modo “etico”. Grazie a security.txt, i ricercatori di sicurezza, possono facilmente mettersi in contatto con le aziende in modo veloce.
“security.txt” è attualmente una bozza, la quale è stata inviata per la revisione RFC. Ciò significa che security.txt è ancora nelle prime fasi di sviluppo. Se volete, potete inviare ulteriori contributi all’indirizzo https://github.com/securitytxt/security-txt
Il file security.txt deve avere un tipo di supporto Internet text/plaine deve essere servito su HTTPS, mentre il valore dell’email è un campo facoltativo.
Detto questo, nel mentre questo progetto diventi a tutti gli effetti uno standard, esistono già dei bot che scansionano costantemente i 250 TOP domain degli Stati Uniti D’America, analizzando il loro “security.txt”.
Questo è possibile trovarlo accedendo all’indirizzo https://gotsecuritytxt.com/us
Insomma, Buona caccia a tutti!
Fonte
https://www.redhotcyber.com/wp-content/uploads/attachments/Security.txt
RedazioneCloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
Le spie informatiche cinesi sono rimaste nascoste per anni nelle reti di organizzazioni critiche, infettando le infrastrutture con malware sofisticati e rubando dati, avvertono agenzie governative ed ...
Nove mesi dopo la sua implementazione in Europa, lo strumento di intelligenza artificiale (IA) conversazionale di Meta, integrato direttamente in WhatsApp, sarà oggetto di indagine da parte della Com...
Un’episodio di cyberattacco ha interessato Leroy Merlin, coinvolgendo i dati personali di numerosi clienti in Francia, con un impatto su centinaia di migliaia di individui. Leroy Merlin assicura che...
Gli sforzi dei legislatori e delle forze dell’ordine per contrastare il riciclaggio di denaro e le procedure più complesse di verifica delle schede SIM non hanno indebolito in modo significativo la...
