Springe zum Hauptinhalt

j5s7

security.txt

Jürgen Schwarze


Vor geraumer Zeit bin ich auf der Suche nach Informationen zum Aufbau der Datei robots.txt für Webserver eher beiläufig auf eine andere Datei bzw. einen anderen (vorgeschlagenen) Standard gestossen - nämlich security.txt.

Es handelt sich dabei um eine einfache Textdatei, die im wesentlichen Kontaktdaten für Sicherheitsvorfälle im Zusammenhang mit einer Domain bzw. einer Webseite enthält.

Erforderlich sind nur die Felder Contact, welches auch mehrfach eingetragen werden kann und Expires für ein Gültigkeitsdatum der enthaltenen Daten, dass natürlich nur einmal vorkommen darf.

Die weiteren (optionalen) Felder sind Encryption für den Link auf einen öffentlichen Schlüssel zur vertraulichen Kontaktaufnahme, Acknowledgements für Danksagungen, Preferred Languages für die bevorzugt zu nutzende(n) Sprache(n), Canonical für den Ablageort der Datei auf dem Server, Policy für die Regeln im Umgang mit Sicherheitsvorfällen, Hiring für den Hinweis auf offenen Stellen, falls es sich bei dem Inhaber der Domain um eine Organisation handelt, die freie Stellen im Sicherheitsbereich hat - und als letzten Punkt CSAF für den Link auf eine Datei mit maschinenlesbaren Sicherheitshinweisen. Zum letzten Punkt ist vielleicht auch der Artikel Standard für maschinenlesbare Sicherheitshinweise verabschiedet von Interesse.

Hat man die Datei security.txt zum Beispiel mit Hilfe der Maske auf security.txt erzeugt, so kann man diese (optional) im nächsten Schritt mit einer OpenPGP-Klartextsignatur signieren. Das funktioniert z. B. unter Linux in der Shell mit gpg2 --clearsign security.txt.

Ablegen sollte man die Datei security.txt entweder im Wurzelverzeichnis der Webseite oder im Ordner .well-known/.

Die Idee zu dieser Datei ist inzwischen auch als Vorschlag zum Internet-Standard eingereicht worden. Man findet die (umfangreiche) Beschreibung als RFC 9116 mit dem Titel A File Format to Aid in Security Vulnerability Disclosure.

Zum Abschluss hier einmal meine Datei security.txt:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Contact: mailto:juergen@j5s7.de
Expires: 2023-12-31T23:00:00.000Z
Encryption: https://j5s7.de/0xBB502E7F.asc
Preferred-Languages: de, en
Canonical: https://j5s7.de/.well-known/security.txt
-----BEGIN PGP SIGNATURE-----
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=7PdP
-----END PGP SIGNATURE-----