Descriviamo quella che con molta probabilità potrebbe essere il nuovo standard per comunicare le vulnerabilità del proprio sito web
Nel mondo del web la sicurezza non è mai troppa, ed ogni giorno la possibilità di scoprire una vulnerabilità più o meno grave sui sistemi che utilizziamo sul nostro sito internet è sempre alta. Ricercatori ed hacker, infatti, sono sempre alla ricerca di possibili vulnerabilità che possono essere scoperte per prima da malintenzionati.
Il problema più grande, per quanto riguarda la scoperta di una vulnerabilità, riguarda la comunicazione della scoperta nei confronti di chi utilizza una particolare tecnologia. Se si tratta di un sito internet per esempio, una vulnerabilità può riferirsi ad una versione di PHP, a strumenti web come PhpMyAdmin, oppure a CMS come WordPress o altro. Prima il webmaster di un sito riceve la comunicazione, prima può adoperarsi per ricorrere ai ripari prima che possa diventare troppo tardi.
Si sta quindi pensando ad uno standard utile per poter indicizzare le tecnologie utilizzate da un particolare sito internet, in modo che alla verifica di un bug possa partire una comunicazione diretta ai singoli amministratori di tutti i siti che utilizzano quella tecnologia, così da ridurre notevolmente i danni.
Tra le soluzioni candidate c’è l’uso di un file, chiamato security.txt e contenuto nella cartella .well-know posizionata nella root del sito, che contiene informazioni quali
- Indirizzo mail dell’amministratore del sito
- Chiave OpenPGP
- Policy di sicurezza
- Link alla pagina relativa ai lavori dedicati alla sicurezza del tuo sito
Questo file di testo definisce uno standard per aiutare le organizzazioni a definire il processo di sicurezza per i ricercatori per rivelare le vulnerabilità in modo sicuro.