Security.txt

Z Wikipedie, otevřené encyklopedie
Skočit na navigaci Skočit na vyhledávání
security.txt ve webovém prohlížeči

Security.txt je navrhovaný standard v podobě jednoduchého textového souboru. Poskytuje informace týkající se zabezpečení webových stránek. Zajišťuje jednoduchý a rychlý přístup k těmto informacím, které zjednodušují často komplikované oznamování bezpečnostních chyb.[1] Přesný název návrhu je „A Method for Web Security Policies“ (Metoda pro zásady zabezpečení webu). Tento soubor by měl být uložen na předvídatelném místě, aby ho bylo možné lehce dohledat. Pro weby je to v adresáři /.well-known/.[2] Schéma je obdobou robots.txt, ale je určené pro čtení lidmi. Návrh již používá například Google, GitHub, LinkedIn, Facebook, BBC a další.

Specifikace[editovat | editovat zdroj]

Na web musí organizace umístit soubor pod cestu /.well-known/, např. https://example.com/.well-known/security.txt. Pro přístup k souboru je také nutné používat protokol HTTPS. Soubor také může být uložen v kořenovém adresáři webové stránky anebo ho lze umístit do obou umístění zároveň.

Struktura[editovat | editovat zdroj]

Soubor obsahuje několik polí. Každé pole vždy sestává ze směrnice a hodnoty, a musí být uvedeno na samostatném řádku. Jedna směrnice smí obsahovat pouze jednu hodnotu, ale lze uvést i více stejných směrnic s různými hodnotami. Soubor může obsahovat i prázdné řádky. Formát souboru se musí řídit gramatikou ABNF (Rozšířená Backusova-Naurova forma).

Pole Acknowledgements nabízí odkaz na stránku s poděkováním výzkumníkům, kteří již nahlásili a opravili nějaké bezpečnostní chyby.

Canonical je pole pro označení umístění souboru. Pokud se toto pole v souboru nenachází, nemusí být obsah důvěryhodný. Je důležité v souboru pole zahrnout, pokud používáme digitální podpis, aby i umístění mohlo být podepsáno.

Pole Contact označuje adresu, kam se mají bezpečnostní chyby nahlásit. Může to být například e-mailová adresa, telefonní číslo, ale i webová stránka s kontaktními informacemi. Každý security.txt musí alespoň jedno toto pole vždy obsahovat.

Encryption označuje šifrovací klíč, který by měli výzkumníci používat pro šifrovanou komunikaci. Klíč se v tomto poli nesmí přímo objevit, místo toho bývá hodnotou URI odkazující na odhalení klíče.

V poli Expires je uvedeno datum a čas, po kterém jsou data v souboru považována za zastaralé a neměly by být dále používány. Doporučuje se hodnota, která je kratší než jeden rok, aby se udržela aktuálnost informací v souboru. Toto pole musí být vždy v souboru obsaženo a nesmí se objevit více než jednou.

Policy nabízí odkaz na bezpečnostní politiku firmy a etická pravidla. Tento údaj není povinný.

Pole Preferred-Languages lze použít jako výčet preferovaných jazyků, ve kterých má být chyba hlášena. Tato sada může obsahovat více hodnot oddělených čárkami, ale pole se smí objevit v souboru nejvíce jednou. Všechny vypsané jazyky mají stejnou prioritu, nezáleží tedy na pořadí, ve kterém jsou uvedeny. Pokud chybí mohou výzkumníci předpokládat, že základním jazykem je angličtina. [3][4]

Soubor může obsahovat i další směrnice (Comments, Extensibility, Hiring…) a je silně doporučeno, aby byl soubor digitálně podepsán. Lze celý soubor vygenerovat na oficiálním webu https://securitytxt.org.[5]

Příklad:[4][editovat | editovat zdroj]

Canonical: https://www.example.com/.well-known/security.txt
Contact: mailto:security@example.com
Contact: tel:+1234567890
Encryption: https://example.com/pgp-key.txt
Policy: https://example.com/policy.html
Acknowledgements: https://example.com/hall-of-fame.html
Preferred-Languages: en, cs
Expires: 2021-12-31T23:00:00z
[digital signature]

Historie[editovat | editovat zdroj]

V srpnu roku 2017 vytvořil webový vývojář a výzkumník v oblasti bezpečnosti Edwin Foudil[6] gitový repositář pro security.txt na GitHubu a požádal zde o zpětnou vazbu a nápady. Internetový návrh poprvé předložil v září 2017 skupině Internet Engineering Task Force (IETF).[7] V té době soubor zahrnoval čtyři hlavní směrnice – Contact, Encryption, Disclosure a Acknowledgements.[4] Foudil očekával přidání dalších směrnic právě na základě zpětné vazby. Částečně se inspiroval open-source projektem GratiPay, na kterém v té době pracoval, ten sám obsahoval od roku 2013 soubor security.txt. [8]Další inspirací byly soubory SECURITY.md nebo bug-bounty.md, které do svých repositářů přidávalo stále více open-source projektů.

V roce 2019 zveřejnila Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) návrh závazné operativní směrnice, podle níž musí všechny federální agentury do 180 dnů zveřejnit soubor security.txt.[7]

V prosinci 2019 vydala skupina Internet Engineering Steering Group (IESG) poslední výzvu k předkládání připomínek k souboru.txt, která skončila 6.ledna 2020.[7]

Odkazy[editovat | editovat zdroj]

Reference[editovat | editovat zdroj]

  1. LEYDEN, John. Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?. www.theregister.com [online]. [cit. 2021-11-25]. Dostupné online. (anglicky) 
  2. K čemu je soubor security.txt. www.michalspacek.cz [online]. [cit. 2021-11-25]. Dostupné online. (česky) 
  3. Přidejte si na web soubor security.txt. TunaSec.cz [online]. [cit. 2021-11-25]. Dostupné online. (anglicky) 
  4. a b c FOUDIL, Edwin; SHAFRANOVICH, Yakov. A File Format to Aid in Security Vulnerability Disclosure. [s.l.]: [s.n.] Dostupné online. 
  5. security.txt. security.txt [online]. [cit. 2021-11-25]. Dostupné online. (anglicky) 
  6. Security.txt Standard Proposed, Similar to Robots.txt. BleepingComputer [online]. [cit. 2021-11-25]. Dostupné online. (anglicky) 
  7. a b c CISA Still Wants Your Thoughts on Its Vulnerability Disclosure Policy. Nextgov.com [online]. [cit. 2021-11-25]. Dostupné online. (anglicky) 
  8. POTHERCA. What is the use of the hackers.txt file? (Or: A history of security.txt) [online]. 2020-01-28 [cit. 2021-11-25]. Dostupné online. (anglicky)