security.txt ist ein mit RFC 9116[1] definierter Request for Comments (RFC), der die Weitergabe sicherheitsrelevanter Informationen betreffend einer Website an dessen Betreiber vereinfachen soll. Dies erfolgt über die Standardisierung der Angabe von relevanten Kontaktinformationen.[2][3] Es handelt sich bei diesem RFC nicht um einen Internetstandard, der den Standardisierungsprozess der Internet Engineering Task Force (IETF) durchlaufen hat. Vielmehr wird er der Kategorie „Informational“ zugeordnet.

Mit dem Request for Comments, der im April 2022 von der IETF veröffentlicht wurde,[1] wird eine Datei namens „security.txt“ definiert, die (ähnlich der „robots.txt“) an einem standardisierten Ort hinterlegt wird und von Menschen wie Maschinen lesbar sein soll. Dadurch soll die Kontaktaufnahme mit dem Websitebetreiber im Fall ermittelter sicherheitsrelevanter Probleme vereinfacht werden.[4]

security.txt-Dateien wurden beispielsweise bereits von Google, GitHub, LinkedIn und Facebook implementiert.[5]

Implementierung

security.txt-Dateien werden im Verzeichnis /.well-known/ (d. h. /.well-known/security.txt) oder im Stammverzeichnis (d. h. /security.txt) einer Website hinterlegt. Die Datei muss über HTTPS als Textdatei hinterlegt werden.

Die Direktiven „Contact“ und „Expires“ sind verpflichtende minimale Angaben in einer security.txt-Datei. Zusätzlich können noch die Direktiven „Encryption“, „Acknowledgements“, „Preferred-Languages“, „Canonical“, „Policy“ und „Hiring“ hinzugefügt werden.

Siehe auch

Einzelnachweise

  1. a b Edwin Foudil, Yakov Shafranovich: RFC: 9116 – A File Format to Aid in Security Vulnerability Disclosure. April 2022 (englisch).
  2. John Leyden: Bug-finders’ scheme: Tick-tock, this tech’s tested by flaws… but who the heck do you tell? In: theregister.co.uk. 3. Januar 2018, abgerufen am 14. April 2019 (englisch).
  3. Security.txt Standard Proposed, Similar to Robots.txt. BleepingComputer, abgerufen am 14. April 2019 (amerikanisches Englisch).
  4. The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities. Security Intelligence, abgerufen am 14. April 2019 (amerikanisches Englisch).
  5. Catalin Cimpanu: iOS apps could really benefit from the newly proposed Security.plist standard. ZDNet, 29. November 2019, abgerufen am 16. Juni 2020 (englisch).