安全研究员向 IETF 提议 Security.txt 标准

释放双眼,带上耳机,听听看~!

文章转载开源中国

安全研究员 Ed Foudil 向互联网工程任务组(IETF)递交了一个 Security.txt 草案,寻找标准化网站的安全政策,这一文件类似定义 Web 和搜索引擎爬虫政策的 robots.txt 文件。

举例来说,如果一名安全研究人员发现了一个网站的漏洞,他可以访问该网站的 security.txt 文件,获取如何联络公司和递交安全漏洞报告。

security.txt 文件包含了如下信息:

#This is a comment
Contact: security@example.com
Contact: +1-201-555-0123
Contact: https://example.com/security
Encryption: https://example.com/pgp-key.txt
Acknowledgement: https://example.com/acknowledgements.html
Disclosure: Full

但就像一些爬虫会无视 robots.txt 去抓取网站内容,security.txt 看起来也容易被滥用,比如被垃圾信息发送者滥用。

来自:Solidot

给TA打赏
共{{data.count}}人
人已打赏
安全经验

安全警告 在 PyPI 中发现了十个恶意软件库

2017-9-17 11:12:22

安全经验

安全预警:Tomcat 存在信息泄漏和远程代码执行漏洞

2017-9-20 11:12:22

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索