image

Internet.nl kan websites nu ook testen op aanwezigheid van security.txt

dinsdag 11 oktober 2022, 10:30 door Redactie, 11 reacties

De testtool Internet.nl, een initiatief van het Platform Internetstandaarden, kan websites nu ook op de aanwezigheid van een security.txt-bestand testen. Security.txt is een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden. Beveiligingsonderzoekers kunnen deze informatie gebruiken om direct de juiste afdeling of persoon binnen de organisatie te benaderen over gevonden kwetsbaarheden.

Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Via security.txt moet het proces rond het melden en afhandelen van gevonden beveiligingsproblemen worden gestroomlijnd en versneld.

Eerder dit jaar besloot de Internet Engineering Task Force (IETF) van security.txt een RFC (Request for Comments) te maken. De IETF is een standaardenorganisatie die zich via discussies binnen de internet community bezighoudt met het ontwikkelen van vrijwillige internetstandaarden. Door de publicatie van RFC 9116 is security.txt nu een specificatie geworden, maar geen internetstandaard.

In mei liet het Digital Trust Center (DTC) van het ministerie van Economische Zaken weten positief te zijn over de potentie van security.txt als standaard. De overheidsinstantie zou gaan kijken of het onder het Nederlandse bedrijfsleven bekend moest worden gemaakt. Internet.nl heeft nu in samenwerking met het DTC een nieuw testonderdeel voor security.txt toegevoegd. Via Internet.nl is het mogelijk om web- en mailservers op allerlei standaarden te testen. Security.txt is daar nu ook een onderdeel van geworden.

De test controleert of het security.txt-bestand op de geteste domeinnaam aanwezig is en of de opgenomen informatie het juiste formaat heeft. Voorlopig heeft de security.txt-standaard binnen Internet.nl de aanbevolen status. De resultaten van de security.txt-test wegen nog niet mee in de totaalscore van het testresultaat. Later dit jaar zal de security.txt-test ook worden toegevoegd aan de API en het dashboard van Internet.nl.

Het Forum Standaardisatie onderzoekt momenteel of de security.txt-standaard geschikt is om te verplichten aan de overheid via plaatsing op de 'pas toe of leg uit'-lijst. Dat houdt in dat overheidsinstanties security.txt verplicht moeten toepassen. Het Forum is een adviescommissie die de publieke sector adviseert over het gebruik van open standaarden en de adoptie en naleving van het open standaardenbeleid monitort.

Reacties (11)
11-10-2022, 11:27 door Anoniem
Helaas security.nl: Your web server does not offer a security.txt file in the right location, it could not be retrieved, or its content is not syntactically valid.
11-10-2022, 12:16 door Anoniem
Hoe verhoudt zich dit tot een Responsible Disclosure Policy op je site? Uiteindelijk staat daar toch alles wat nodig is? Of worden we lui en moet dit soort info in een standaard formaat massaal te scrapen, zijn?
11-10-2022, 14:51 door Anoniem
Door Anoniem: Hoe verhoudt zich dit tot een Responsible Disclosure Policy op je site? Uiteindelijk staat daar toch alles wat nodig is? Of worden we lui en moet dit soort info in een standaard formaat massaal te scrapen, zijn?
Het lastige van een responsible disclosure policy is dat deze lastig te vinden kan zijn op een site. De security.txt standaard standaardiseert daarom de locatie waarop een verwijzing naar het beleid en de contactgegevens gevonden kunnen worden.

Daarnaast maakt de standaard locatie het mogelijk om geautomatiseerd waarschuwingen te sturen omdat de contactgegevens programmatisch opgehaald kunnen worden. Ik verwacht dat partijen zoals DIVD.nl daar gebruik van kunnen maken bij hun scans.
11-10-2022, 15:00 door Anoniem
Door Anoniem: Hoe verhoudt zich dit tot een Responsible Disclosure Policy op je site? Uiteindelijk staat daar toch alles wat nodig is? Of worden we lui en moet dit soort info in een standaard formaat massaal te scrapen, zijn?

Ja, graag!
11-10-2022, 16:00 door Anoniem
Mooi, de overheid geeft het juiste voorbeeld:
https://www.overheid.nl/.well-known/security.txt

oohnee toch niet....
11-10-2022, 16:19 door Anoniem
Door Anoniem: Hoe verhoudt zich dit tot een Responsible Disclosure Policy op je site? Uiteindelijk staat daar toch alles wat nodig is? Of worden we lui en moet dit soort info in een standaard formaat massaal te scrapen, zijn?

Een responsible disclosure-beleid is soms moeilijk vindbaar op de website, of het is onduidelijk of een bepaalde domeinnaam bij een bepaalde organisatie hoort. Daarnaast zijn er partijen als DIVD of het Digital Trust Center die soms honderden of duizenden bedrijven moeten informeren over het gebruik van kwetsbare software. De security.txt kan hier in beide gevallen in ondersteunen, want het is zowel eenduidig vindbaar als verwerkbaar voor automatische meldingen. Het 'Policy'-veld in de security.txt-standaard kan vervolgens ook nog eens verwijzen naar het Responsible Disclosure-beleid.

Als laatste zorgt het er ook voor dat er makkelijker gemeten kan worden hoeveel organisaties een responsible disclosure-beleid hebben, zo kan ook gezien worden of bepaalde sectoren hierin achterblijven.

Deze standaard is dus primair voor het eenduidig vindbaar maken van je responsible disclosure-beleid en het standaardiseren van contactinformatie
11-10-2022, 16:49 door Anoniem
Waarom nou weer in zo'n stomme /.well-known/ directory? Als het nou gewoon /security.txt was, dan zou ik 'm wel plaatsen. Nu weiger ik het gewoon uit principe.
11-10-2022, 17:04 door Anoniem
Door Anoniem: Waarom nou weer in zo'n stomme /.well-known/ directory? Als het nou gewoon /security.txt was, dan zou ik 'm wel plaatsen. Nu weiger ik het gewoon uit principe.

Voor wat achtergrond over de keuze voor /,well/-known/ zie: https://www.rfc-editor.org/rfc/rfc8615#appendix-A
11-10-2022, 17:26 door Anoniem
Door Anoniem: Waarom nou weer in zo'n stomme /.well-known/ directory? Als het nou gewoon /security.txt was, dan zou ik 'm wel plaatsen. Nu weiger ik het gewoon uit principe.

Omdat die directory gewoon een geaccepteerde internetstandaard is, zie https://en.m.wikipedia.org/wiki/Well-known_URI en RFC 5785. Wordt al jaren voor veel standaarden gebruikt…
11-10-2022, 19:12 door Anoniem
Door Anoniem: Waarom nou weer in zo'n stomme /.well-known/ directory? Als het nou gewoon /security.txt was, dan zou ik 'm wel plaatsen. Nu weiger ik het gewoon uit principe.

Dat was initieel ook de plek, maar dat bleek onhandig te zijn. Op https://securitytxt.org leggen ze prima uit waarom toch? En in de root gaan de meeste hem toch wel vinden.
12-10-2022, 10:07 door Anoniem
de keuze voor /,well/-known/ zie...
En zie; je geeft onbedoeld direct een voorbeeld waarom het een minder goed URI is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.