Security.txt-File

Ein Vortrag von Troy Hunt auf der NDC London 2019 hat mich auf eine Datei aufmerksam gemacht, die jeder Webadmin auf seiner Seite haben sollte. Zumindest wenn Security Analysten ihre Webseite untersuchen und eine Lücke finden. So finden Sie dann vermutlich ganz schnell ihre Kontaktdaten

.well-known/security.txt

Bei dem Verfahren handelt es sich im wesentlichen um eine Text-Datei auf ihrer Webseite, in der Sie entsprechende Informationen zur Meldung von Sicherheitslöchern ablegen. Natürlich beruht die Hoffnung darauf, dass "gute" Spezialisten sie über den Weg auf solche Lücken aufmerksam machen und keine Spamm-Versender nun glauben, dass diese Kontaktadressen vielleicht dankbare Empfänger für Werbung sind.

MSXFAQ

Ich habe mir daher eine eigene Alias-Adresse unter meiner Domain angelegt, die Mails an diese Adresse erst mal auf mein primäres Postfach weiter leitet. Die Datei sieht bei mir wie folgt aus:

Sie können Sie einfach unter der URL https://www.msxfaq.de/.well-known/security.txt abrufen

Ich kann zwar nie ausschließen, dass meine MSXFAQ nicht doch mal wieder gehackt wird, aber da ich kein CMS oder Blog-Software nutze, sondern alle Seiten nur offline generierte HTML-Dateien ohne aktiven Hilfe von PHP; Perl, ASPX o.ä. sind, ist die Angriffsfläche sehr klein. Es gibt nur ein paar ganz weniger aktive Seiten für Tests, deren Code aber so überschaubar ist, dass ich noch keine Lücke gesehen habe. Aber sag niemals nie, denn PHP ist auf dem Apache meines Hosters durchaus aktiviert.

Beispiele

Es gibt zwar schon viele auch bekannte Seiten, die so eine Datei bereitstellen. Allerdings sind es nicht nicht alle "großen"

  • Google
  • Dropbox
  • BBC

Die Datei kann mit jedem Text-Editor erstellt werden.

Weitere Links