Ruim 77.000 Nederlandse domeinnamen voorzien van security.txt
Ruim 77.000 Nederlandse domeinnamen maken inmiddels gebruik van security.txt, een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden. Dat laat het Digital Trust Center (DTC) van het ministerie van Economische Zaken vandaag weten. Vorige week meldde Security.NL dat het Forum Standaardisatie adviseert om het gebruik van security.txt te verplichten voor Nederlandse overheden, zoals het Rijk, provincies, gemeenten en waterschappen en instellingen uit de publieke sector.
Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Via security.txt moet het proces rond het melden en afhandelen van gevonden beveiligingsproblemen worden gestroomlijnd en versneld.
Vorig jaar oktober heeft het DTC samen met een groot aantal ambassadeurs een oproep aan bedrijven en it-dienstverleners gedaan om security.txt te gaan gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand gegroeid naar ruim 77.000, aldus het DTC. Hoewel het Forum Standaardisatie pleit om security.txt voor overheden te verplichten, ziet het Digital Trust Center graag dat ook de private sector dit voorbeeld volgt.
Via Internetconsultatie.nl kan er tot 12 maart op het advies van het Forum Standaardisatie worden gereageerd. "Experts stellen vast dat er voldoende ervaring en draagvlag is binnen de Nederlandse overheid voor security.txt. De standaard heeft een lage drempel voor de (technische) implementatie ervan. Er is ondersteuning beschikbaar (kennis en tools) vanuit de Nederlandse overheid die wordt voortgezet na verplichting van security.txt aan overheden", aldus een uitleg bij de consultatie.
Wat een enorme BS, kunnen we nou niks effectievers bedenken om het internet veiliger te krijgen?
Wat een enorme BS, kunnen we nou niks effectievers bedenken om het internet veiliger te krijgen?
niet bezig is met de echte problemen, maar met het vullen van de tijd en het uitbrengen van adviezen om de teller
"uitgebrachte adviezen" een zetje te geven en het eigen bestaan te legitimeren...
Wat een enorme BS, kunnen we nou niks effectievers bedenken om het internet veiliger te krijgen?
Wat een enorme BS, kunnen we nou niks effectievers bedenken om het internet veiliger te krijgen?
niet bezig is met de echte problemen, maar met het vullen van de tijd en het uitbrengen van adviezen om de teller
"uitgebrachte adviezen" een zetje te geven en het eigen bestaan te legitimeren...
Twee heel kortzichtige reacties. Het gaat niet om of/of maar om en/en.
Natuurlijk moet je problemen zoveel mogelijk voorkomen. Maar je moet ook je kop niet in het zand steken en erkennen dat het nog altijd fout kan gaan. En dan is het een heel goed idee om iets geregeld te hebben voor meldingen.
allemaal ingevuld met waarden die generiek zijn aangeleverd
maar zeg nu eerlijjk... je vind een lek in een webapp van de overheid... hoe vind je die security.txt als n00b?
googlen op "contact ministerie van bla" heb je direct een hit... nu moet je gaan kijken naar well-know\security.txt ?
dat snappen de meeste voorbij-fiets mensen niet die per ongeluk iets vinden.
dit is net zo'n dom idee als blauwe borden 200m van de snelweg plaatsen met de melding " rood kruis rijstrook dicht'....
Wanneer mensen 4m boven hun hoofd een groot flashy rood bord niet zien, gaan ze een vaal blauw bord meters van de snelweg ook niet spotten...
Wat een enorme BS, kunnen we nou niks effectievers bedenken om het internet veiliger te krijgen?
Begrijpen jullie wel waar dit om gaat? Het is alleen maar zorgen dat onderzoekers naar één locatie kunnen gaan voor het melden van problemen of bevindingen. Dit voorkomt dat men drie servicedesks moet uitspelen waarna Tiny-de-Herintreder met mad WordPerfect-skills een ticket inschiet in een legacy systeem waarvan alleen de bebaarde bedrijfsgoblin nog weet van heeft.
Hoe waarschijnlijk acht jij de kans dat een n00b een lek vindt in een webapp? Daar komt bij: er valt alleen maar mee te winnen. In het slechtste geval doet het bestandje niet ter zake omdat deze niet gevonden wordt, in het beste geval is iemand veel sneller op de juiste plek.
Met andere woorden: dat gejammer dat het zinloos is, slaat gewoon nergens op.
Nou, nee, in het ergste geval heb je een entry-point gecreerd die voor heel veel mogelijkheden vatbaar kan worden.
Altijd een vaste locatie waar je misschien schrijfrechten kunt zetten? Of waar ze misschien al zijn gezet omdat iemand het bestandje aangepast heeft met een account?
Perfecte locatie voor privilege escalation..
Nou, nee, in het ergste geval heb je een entry-point gecreerd die voor heel veel mogelijkheden vatbaar kan worden.
Altijd een vaste locatie waar je misschien schrijfrechten kunt zetten? Of waar ze misschien al zijn gezet omdat iemand het bestandje aangepast heeft met een account?
Perfecte locatie voor privilege escalation..
Dit zijn drogredeneringen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.