» Навигация
Your Cart

Генератор на security.txt файл

Генератор на security.txt файл

Създайте текстов файл security.txt в директорията .well-known на вашият проект, за да улесните специалистите по киберсигурност в случай, че желаят да ви докладват за даден проблем във вашата уеб страница. Този "стандарт" представя създаването на файл, наречен "security.txt" в /.well-known/ директория на даден уеб сървър или в основната директория в която се намира сайта, който съдържа информация за контакт, свързана с киберсигурността на сървъра - контакт на който могат да бъдат докладвани уязвимости. По принцип много от специалистите по киберсигурност са склонни да търсят този файл всеки път, когато открият секюрити проблем, което пък от своя страна смятам, че си струва, тъй като предложеният стандарт е добре известен на общността, защото е известен няколко години.

 

Ето и един пост по темата и може би малко повече информация, какво представлява този security.txt файл:

Security.txt - един малък текстови файл, но огромна помощ за специалиста по киберсигурност

Информация за контакт   

Връзка, имейл адрес или телефонен номер, за да могат хората да се свързват с вас относно проблеми с киберсигурността. Задължитлно адресите трябва да съдържат "https://" за URL, "mailto:" за емейл адреси, "tel:" за телефонни номера. Може да добавите всички контакти на екипа, който се занимава със сигурността включително и контактите на хората отговарящи за защитата на личните данни съгласно Европейският регламент за защита на личните данни. Аз лично не съм тествал, но по принцип не би трябвало да има проблем дори да добавите Telegram, WhatsApp, Skype и т.н. като важното да е поставите URI пред контакта. Погледнете още документацията за "Контакт"


Публичен ключ

Връзка към публичния ключ, който специалистите по киберсигурност трябва да използват, за да подават данни и информация по сигурен начин към вас. Трябва да бъде под формата на URL адрес, който да включва "https://". Погледнете още документацията за "Криптиране"


Поздравления

Връзка към страница, в която казвате благодаря на специалисти по киберсигурност, които са ви помогнали да решите или са открили даден проблем. По принцип има такава практика освен Bug Bounty наградите, така че може да помислите за нещо такова. Не е необходимо да е видима по цялостната конструкция и визия на вашият проект. Примерно Facebook си има такава - Facebook Whitehat Thanks. Задължително трябва да включите пълният URL адрес, който да включва и "https://". Погледнете още документацията за "Поздравления"


Предпочитани езици за комуникация

Разделени чрез запетайка, може да изброите всички езици на които предпочитате да се води комуникацията. Езиците се изписват съгласно международния стандарт ISO 639-1 с две букви. Погледнете още документацията за "Предпочитани езици"


Каноничен адрес

Най-често срещаният URL адрес за достъп до вашия файл security.txt. Важно е го включите в описанието, ако файла security.txt е цифрово подписан, за да знаят специалистите по киберсигурност, че не просто сте откраднали чужд файл със същото съдържание. Погледнете още документацията за "Каноничен адрес"


Политики за сигурност

Връзки към политиките ви за сигурност, които подробно описват какво трябва да правят специалистите по киберсигурност, когато търсят или докладват проблеми със сигурността и най-вече, за да знаят кога една грешка не е грешка макар, че една грешка не е грешка когато е засечка и ако ви докладват за нещо което сте го описали в Политиките за сигурност, ще бъде по-добре да помислите за подобряване на въпросната функционалност. Задължително трябва да включите пълният URL адрес, който да включва и "https://". Погледнете още документацията за "Политики"

Предлагане на работа

Връзки към страници с предлагане на работни места, свързани със киберсигурност във вашата организация. Задължително трябва да включите пълният URL адрес, който да включва и "https://". Погледнете още документацията за "Предлагане на работа"

 

 

 

 

 

 

Отговорности

Информацията, анализите, новините, ревютата както и всички останали дигитални активи на този сайт, са САМО и ЕДИНСТВЕНО, създадени с образователна цел. Не използвайте информацията без разрешение. Обичайният отказ от отговорност се прилага за всички активи и особено фактът, че Аз - Тодор Донев, не нося отговорност за вреди, причинени от пряко или косвено използване на предоставената от този сайт, информация или функционалности. Авторът не носи отговорност за злоупотреба с тази информация, както и производни на нея, информационни публикации. Използвайки този информационен източник, вие приемате и се съгласявате с факта, че всякакви повреди (загуба на данни, срив и компрометирания на чужди системи и т.н.), причинени от използването на тази информация, не е отговорност на Тодор Донев, а само и единствено Ваша. Целта на сайта е да ви информира за заобикалящата ви, околна среда в киберпространството и спомагане за повишаване на дигиталната култура и киберсигурност, а не да ви провокира да извършвате незаконосъобразни действия, върху информационни активи на трета страна без разрешение в следствие от усвояване/възприемане/асимилиране на информацията от този блог.