Security.TXT un draft del IETF para mi Hackers.TXT

Hace ya muchos años, harto de no saber cómo actuar cuando una vulnerabilidad era descubierta en una página web, yo propuse la creación de un fichero llamado Hackers.TXT para que los investigadores supieran cómo debían actuar sin tener un problema legal.
security txt un draft del ietf para mi hackers txt - Security.TXT un draft del IETF para mi Hackers.TXT
Figura 1: Security.TXT un draft del IETF para mi Hackers.TXT

Una idea que a mí me parecía una necesidad en el mundo de hoy en día, y que incluso muchos compañeros me pidieron que empujar con más fuerza. De hecho, algunos researchers reservaron hackers.org y otros canales para potenciar esta idea, y en varios rincones del mundo se solicitaba formalmente una definición. A mi me bastaba con un texto informativo.
security txt un draft del ietf para mi hackers txt - Security.TXT un draft del IETF para mi Hackers.TXT
Figura 2: Petición de definición de hackers.txt
En ausencia de esta información, las alternativas de los investigadores era reportar a empresa que tuvieran Bug Bounties abiertas o que fueran Hacking Friendly, y no reportar ninguna en el resto de las empresas.
1505398439 391 security txt un draft del ietf para mi hackers txt - Security.TXT un draft del IETF para mi Hackers.TXT
Figura 3: Draft para Security.TXT
Ahora, me alegra ver que hay desde ese mes de Agosto un draft propuesto para esta idea, con el nombre de Security.TXT y que está abierto para debate en el IETF, bajo el nombre de «A Method for Web Security Policies«.
1505398439 647 security txt un draft del ietf para mi hackers txt - Security.TXT un draft del IETF para mi Hackers.TXT
Figura 4: Motivación, Terminología y Especificación para SECURITY.TXT
La idea es tan sencilla como yo proponía en Hackers.txt, es decir, que un investigador supiera cómo actuar cuando una vulnerabilidad había sido descubierta, lo que ayuda a explicar si hay una Bug Bounty o no abierta, y dar los puntos de contactos habilitados.
1505398439 795 security txt un draft del ietf para mi hackers txt - Security.TXT un draft del IETF para mi Hackers.TXT
Figura 5: La definición del formato
Con un formato muy sencillo que se puede ver en esta definición, el fichero SECURITY.TXT, publicado en el path raíz de una aplicación web, daría toda la información que necesitan los investigadores para saber cómo actuar y eliminaría uno de los problemas que aún siguen teniendo:

– ¿Cómo lo reporto?
– ¿Me voy a meter en algún lío?
– ¿Hay algún premio por ello?

Saludos Malignos!

FUENTE

1 Star2 Star3 Star4 Star5 Star (1 votes, average: 5,00 out of 5)
SOSVirusCargando...

Leave a Comment

libero. efficitur. tempus sem, dapibus quis id commodo ut in ut fringilla