安全研究人員鼓吹Security.txt網路標準,盼網站充份揭露安全政策

安全研究人員鼓吹Security.txt網路標準,盼網站充份揭露安全政策 Security.txt與robots.txt相似,為存放於網站根目標的文字檔,但專門描述網站的安全政策,例如網站的漏洞回報、漏洞種類、聯繫管道、抓漏專案等詳細的安全政策內容,甚至可表明不希望研究人員測試該網站。 文/陳曉莉 | 2017-09-18發表 圖片來源: GitHub 安全研究人員Ed Foudil最近提交了新的Security.txt草案予網際網路工程任務小組(Internet Engineering Task Force,IETF),這是一個供網站描述安全政策及聯繫管道的草案,期望讓它標準化以讓安全研究人員與網站之間的溝通更為流暢。Foudil指出,當獨立安全研究人員發現網路服務的漏洞時,他們經常缺乏適當的揭露管道,於是,這些漏洞可能就沒有修補,進而危害網路安全。因此,由Foudil所設計的Security.txt標準將允許網站定義安全政策,透過清楚的準則協助安全研究人員回報網站漏洞,此一文字檔描述了網站所允許的漏洞回報範圍、漏洞種類、聯繫管道、安全頁面、抓漏專案、付款方式、獎金規模、獎金捐贈途徑及揭露政策等,也可表明並不希望研究人員測試他們的平台。Security.txt與robots.txt的用法類似,它們都是被存放於網站根目錄的文字檔案,只是robots.txt定義的是網站的爬梳政策,對象為搜尋引擎,而Security.txt定義的則是網站的安全政策,對象為安全研究人員。 iThome Security

更多訊息更多資料都在這裡喔!~膠骨力~蜂王乳~力雪達~磷蝦油~血栓溶解酵素~蜂王漿~智勝王~地龍粉~膠股力~PPLS~蚯蚓粉~南極寶~地龍酵素~蝦紅素~蝦青素~青春元素~健康食品~保健食品~芙婷寶

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *