Stell dir vor, du surfst im Internet und stösst zufällig auf eine Sicherheitslücke, zum Beispiel eine SQL-Injection in einer Eingabemaske. Wie kannst du diese Schwachstelle jetzt dem zuständigen Administrator melden?

Oder umgekehrt: Du betreibst eine Webanwendung und möchtest, dass Sicherheitsforscher dir unkompliziert potenzielle Sicherheitsprobleme mitteilen können.

Genau für solche Fälle gibt es security.txt.


Was ist security.txt?

security.txt ist eine einfache Textdatei, die nach dem informellen RFC 9116 standardisiert ist  (https://www.rfc-editor.org/rfc/rfc9116). Sie wird im Verzeichnis /.well-known/security.txt auf dem Webserver abgelegt und enthält Informationen darüber, wie Sicherheitsforscher mit den Verantwortlichen Kontakt aufnehmen können.


Wie erstelle ich eine security.txt-Datei?

In einer security.txt-Datei können verschiedene Kontaktinformationen strukturiert hinterlegt werden, um eine klare Kommunikation mit Sicherheitsforschern zu ermöglichen. Im Folgenden erkläre ich die wichtigsten Felder anhand eines Beispiels:

1. Contact

Im Contact-Feld gibst du an, wie man dich oder dein Security-Team erreichen kann. Du kannst mehrere Kontaktmöglichkeiten angeben, zum Beispiel per E-Mail, Telefon oder über ein spezielles Kontaktformular:

Contact: mailto:security@example.com
Contact: tel:+1-201-555-0123
Contact: https://example.com/security-contact.html

2. Encryption

Das Encryption-Feld gibt den Weg zu einem Verschlüsselungsschlüssel an, damit Sicherheitsforscher ihre Kommunikation absichern können. Hier kann ein Link zu einem PGP-Schlüssel oder der Fingerprint direkt hinterlegt werden:

Encryption: https://example.com/pgp-key.txt
Encryption: openpgp4fpr:5f2de5521c63a801ab59ccb603d49de44b29100f

3. Expires

Da Kontaktinformationen nicht für immer unverändert gültig sind, ermöglicht es das Expires-Feld, ein Ablaufdatum für die Datei festzulegen. So stellst du sicher, dass Sicherheitsforscher immer mit aktuellen Daten arbeiten:

Expires: 2024-09-23T17:27:07z

4. Hiring

Das Hiring-Feld ist optional und bietet die Möglichkeit, offene Stellen im Sicherheitsbereich zu bewerben:

Hiring: https://example.com/jobs.html

5. Policy

Das Policy-Feld verweist auf die Richtlinien deiner Organisation zur Offenlegung von Sicherheitslücken (Vulnerability Disclosure Policy). Hier erfahren Sicherheitsforscher, wie sie entdeckte Schwachstellen melden sollten und welche Erwartungen an sie gestellt werden:

Policy: https://example.com/disclosure-policy.html

6. Preferred-Languages

Mit diesem Feld kannst du angeben, in welchen Sprachen du kontaktiert werden möchtest. Das erleichtert die Kommunikation mit internationalen Sicherheitsforschern:

Preferred-Languages: en, es, fr


Fazit

security.txt ist ein einfacher und effektiver Weg, um die Kommunikation zwischen Website-Betreibern und Sicherheitsforschern zu erleichtern. Es schafft Klarheit darüber, wie Sicherheitslücken gemeldet werden können und trägt dazu bei, Sicherheitsprobleme schneller zu beheben.

Du kannst deine eigene security.txt-Datei ganz leicht mit diesem Generator erstellen: https://securitytxt.org


Weiterführende Links


Der Beitrag Security.txt: Wie publiziere ich Security Kontakte? erschien zuerst auf Tec-Bite.