Sinds kort is 'security.txt' bezig om een internetstandaard te worden. Security.txt is een bestand dat je kunt aanmaken op je website waarmee veiligheidsonderzoekers snel en eenduidig contactgegevens van de website-eigenaar kunnen achterhalen.

De inhoud van zo'n bestand staat niet 100% vast maar er moeten tenminste contactgegevens en een verloopdatum in vermeld worden, al wordt die laatste vaak toch achterwege gelaten. Je kunt hier die van Google bekijken en hier die van onszelf.

Het nut van security.txt

In het bestand vinden veiligheidsonderzoekers hoe ze na het aantreffen van een bug/lek contact kunnen opnemen en het laat zien dat je security serieus neemt. Je kunt in security.txt ook vermelden dat je onder voorwaarden geen juridische stappen zult ondernemen (safe harbor). Dat moedigt white hat hackers aan om samen te werken om problemen op te lossen in plaats van het uit te buiten (al zou een white hat hacker dat sowieso niet doen). Wij maken gebruik van een webhosting platform voor onze klanten en natuurlijk allerhande software die daarbij komt kijken. Ook bouwen we websites op basis van een scala aan software. 100% veiligheid bestaat niet en daarom werken we graag samen om bugs zo snel mogelijk te pletten.

Zelf een security.txt bestand aanmaken

Zelf een security.txt aanmaken? Dat doe je in de .well-known map in de html root van je webhostingpakket. Die map wordt ook gebruikt voor o.a. de acme challenge van je SSL certificaat. Het security.txt bestand is een normaal tekstbestand met daarin tekst zoals in de voorbeelden aangegeven. Je hoeft er niet naartoe te verwijzen vanaf je website omdat de locatie van dit bestand altijd het zelfde is, maar dit kan wel via bijvoorbeeld een link genaamd 'Responsible disclosure' zoals bij ons onderaan in de footer.

Vragen? Neem contact met ons op.