security.txt – Das i-Tüpfelchen unter den Sicherheitsmaßnahmen

19. Juni 2024

In der Regel haben die wenigsten Webentwickler, Designer, Hoster und andere Technikbegeisterten von der security.txt gehört, sicher jedoch schon einmal von der robots.txt-Datei. Diese einfache Textdatei findet man stets im Hauptverzeichnis einer Website. Sie gibt Crawlern der großen Suchmaschinen Anweisungen darüber, welche Seiten sie crawlen und indexieren dürfen. Die robots.txt ist dabei ein Internetstandard mit eigener RFC zu werden.

Genau diese Verbreitung und Akzeptanz versucht man mit der security.txt auch für die Sicherheit einer Webapplikation zu bekommen.

security.txt – robots.txt meets Sicherheit

Aus diesem Grund veröffentlichten Sicherheitsenthusiasten Anfang 2018 den erste Entwurf einer RFC für die Deklarierung der security.txt.

Die security.txt-Datei soll mehrere Probleme lösen, auf die BugBounty Hunter, IT-Securityforscher und andere ehrliche Finder von Schwachstellen regelmäßig treffen:

  • Einen zuständigen Kontakt bei einer von einer Schwachstelle betroffenen Webapplikation zu finden gestaltet sich regelmäßig als sehr zeitaufwändig und ist nicht immer von Erfolg gekrönt
  • Nur wenige Unternehmen veröffentlichen bis dato eigene „Spielregeln“ für die Suche nach Schwachstellen
  • Informationen zur Art der Kommunikation sind schwer zugänglich

Die security.txt löst diese Probleme folgendermaßen:

  • Klare Definition eines Ansprechpartners, wenn man eine Sicherheitslücke findet
  • Klare Definition, über welchen Kontakt dieser Ansprechpartner zu kontaktieren ist. Bestenfalls ist hier ein passender Public-Key für verschlüsselte Kommunikation mit hinterlegt, zumindest jedoch der Hinweis darauf, wo man ihn finden kann.
  • Klare Mitteilung darüber, ob eine Security Policy (oder Vulnerability Disclosure Policy) vorhanden ist und Anwendung findet

Leicht zu finden

Diese einfache Datei schafft also klare Fakten und erleichtert den ehrlichen Findern von Schwachstellen das Leben sowie die Suche nach einer Anlaufstelle im Falle eines Findings. Gleichzeitig zeigt sie auf, dass das Unternehmen sich mit dem Thema IT-Sicherheit beschäftigt.

Auch die security.txt ist auf dem besten Weg, ein eigener Standard zu werden. Sie unterliegt jedoch noch laufenden Änderungen. Unter nachfolgendem Link ist der Entwurf in der Version 11 zu finden: Link

Nach diesem Standard soll sie entweder im Hauptverzeichnis der Domain oder im Unterverzeichnis “.well-known“ gespeichert werden.

Einfache Erstellung der security.txt

Um die Verbreitung weiter zu fördern und die Erstellung maximal zu vereinfachen haben die Sicherheitsforscher EdOverflow und Yakov Shafranovich die Website securitytxt.org erstellt, welche ein praktisches Tool zur Erstellung einer eigenen Version enthält.

Weitere Blogeinträge

So erreichst du uns:

HXNWRK
GmbH
Alfred-Bozi-Strasse 12
33602 Bielefeld
Route berechnen