Hinweise willkommen: security.txt als Einladung für Schwachstellen-Entdecker

Inhaltsverzeichnis

Einige namhafte Unternehmen und Plattformen wie Facebook, Google oder LinkedIn, aber auch US-Regierungsbehörden und öffentliche Einrichtungen haben sie auf Ihren Webservern: eine Datei namens security.txt. Bestehend aus wenigen kurzen Textzeilen öffnet sie Sicherheitsforschern und Forscherinnen eine Tür und kann gleichzeitig dazu beitragen, Bedrohungen zügig einen Riegel vorzuschieben.

Mehr zu Verschlüsselung und Security:

• Verschlüsselung: Wie man Strings in Binaries versteckt
• Die Security-Checklisten 2021: Die richtigen Handgriffe für mehr Sicherheit
• FIDO2-Stick YubiKey Bio mit Fingerabdrucksensor
• Hochsicherheits-Linux auf USB-Stick: Geschützt surfen und arbeiten mit Tails
• Sicher mailen: Datenschutzprobleme bei Mailhosting-Anbietern
• Sicher kommunizieren: Wie moderne Kommunikationsverschlüsselung funktioniert

security.txt ist ein 2017 ins Leben gerufenes Projekt, das die Kontaktaufnahme bei Schwachstellenfunden auf Basis eines einheitlichen Formats und Speicherorts und unter verbindlicher Angabe wichtiger Informationen erleichtern soll. Zugleich sendet eine gut gepflegte security.txt ein positives und wichtiges Signal aus: "Eure Hinweise sind uns willkommen – scheut euch nicht, eure Entdeckungen jetzt sofort und auf direktem Wege mit uns zu teilen".

Dieser Artikel erläutert Hintergründe und Syntax des vorgeschlagenen Internetstandards. Er erklärt, wie man als Unternehmen oder Privatperson mit wenig Aufwand selbst eine security.txt-Datei erstellt. Sicherheitsforscher erfahren, wo sie die Datei finden und was sie mit den enthaltenen Informationen anfangen können.

Das war die Leseprobe unseres heise-Plus-Artikels "Hinweise willkommen: security.txt als Einladung für Schwachstellen-Entdecker". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.