Archivo security.txt - Estándar de seguridad

Security.txt un Estándar propuesto de Seguridad que necesitas en tu sitio web

security.txt es un estándar propuesto que permite a los sitios web divulgar los canales de comunicación para notificar las vulnerabilidades encontradas, basados en sus propias políticas de seguridad.

Una norma propuesta que permite a los sitios web definir políticas de seguridad

https://securitytxt.org/

security.txt es un estándar propuesto para la información de seguridad de los sitios web que pretende permitir a los investigadores de seguridad informar fácilmente sobre las vulnerabilidades de seguridad. El estándar prescribe un archivo de texto llamado «security.txt» que es similar a robots.txt (tema tratado en artículos anteriores) pero que debe ser leído por personas que deseen ponerse en contacto con el propietario de un sitio web sobre cuestiones de seguridad.





Como se Implementa


Es muy rápido y simple, mediante un archivo titulado security.txt, el cual puede contener un apartado para comentario y 4 directivas (en su versiones iniciales) que son: «Contacto» , «Cifrado» , «Divulgación» y «Reconocimiento«. Una vez que tenemos el archivo, este debe ir alojado debajo de la /.well-known/ quedando la ruta /.well-known/security.txt

La forma mas fácil es utilizando el sitio web oficial https://securitytxt.org/ en donde podrás generar el archivo security.txt y posteriormente solo alojarlo en tu sitio web bajo la ruta /.well-known/

Apartado para Comentarios

Estos son declarado con el hastag «#» al inicio de cada linea que desee declarar un comentario, todo el texto posterior es ignorado por los bots.

# Esto es un comentario
# dentro de un archivo security.txt

Directivas «Contacto»

Inicia con la palabra «Contact:», puede contener una URL o preferiblemente una cuenta de correo, pueden incluir cuantos desee agregando 1 por linea.

Contact: vuxmi.com/report_bug
Contact: admin@vuxmi.com

Directiva «Cifrado»

Inicia con la palabra «Encryption:» puede contener una URL o preferiblemente una ruta hacia un archivo .TXT que contenga la clave del certificado, pueden incluir cuantos desee agregando 1 por linea.

Encryption: pgp-key.txt
Encryption: otro-pgp-key.txt

Directivas «Reconocimiento»

Inicia con la palabra «Acknowledgments:», puede contener una URL con direccionamiento a la sección ABOUT o el boletín de su sitio web, pueden incluir cuantos desee agregando 1 por linea.

Acknowledgments: http://vuxmi.com/about/
Acknowledgments: http://vuxmi.com/hall-fame/

Directiva «Divulgación»

Inicia con la palabra «Policy:», puede contener una URL con direccionamiento a la sección POLICY de su sitio web, pueden incluir cuantos desee agregando 1 por linea.

Policy: http://vuxmi.com/politica
Policy: http://vuxmi.com/divulgacion

Otras Directivas

Hiring, es utilizado para manifestar la vía que contrataciones, puede ser una URL o una cuenta de correo, pueden incluir cuantos desee agregando 1 por linea.

Canonical, es utilizado para declarar URL alternativos a la ruta de nuestro archivo security.txt, puedes ocupar nombres alternativos o ruta diferente como por ejemplo el directorio raiz.

Preferred-Languages, es para indicar el idioma en que esperas las notificaciones de vulnerabilidades, trabaja con el «estándar ISO 639-1» donde es=español y en=ingles. Para declarar varios idiomas separarlos por coma, todos en una misma linea.

Un ejemplo Utilizando los apartados y directivas en un archivo security.txt

# https://securitytxt.org/
# /.well-known/ path (/.well-known/security.txt) [RFC5785].
#
# Encryption, Canonical, son rutas ficticias con objetivo de ilustración

Contact: info@Resolucion.Club
Contact: http://facebook.com/Resolucion.Club
Encryption: http://resolucion.club/pgp-key.txt
Policy: http://resolucion.club/politica
Acknowledgments: http://resolucion.club/info

# Otras directivas
Hiring: http://resolucion.club/info
Preferred-Languages: es, en
Canonical: http://resolucion.club/security.txt

Si desea darle a los investigadores de seguridad, la confianza de que su archivo security.txt es auténtico y no fue plantado por un atacante, considere adicionarle una firmar digitalmente como por ejemplo openPGP. en caso no contar con un certificado SSL/TLS (esto es un plus, que agrega complejidad al momento de descargar un archivo de texto, agregándole un certificado de autenticidad)





Historia y Futuro


El borrador de Internet fue presentado por primera vez por Edwin Foudil en septiembre de 2017. En ese momento cubría cuatro directivas, «Contacto», «Cifrado», «Divulgación» y «Reconocimiento». Se espera que Foudil agregue más directivas basadas en los comentarios.

En ese momento, el experto en seguridad web Scott Helme dijo que había visto comentarios positivos de la comunidad de seguridad, mientras que el uso entre los 1 millones de sitios web más importantes era «tan bajo como se esperaba en este momento»

El uso de este estándar crece continuamente y aunque es una solución «simple o sencilla», pero su utilidad es muy practica. A continuación te listamos algunos ejemplos de sitios que lo utilizan actualmente.

El archivo security.txt no ha existido por mucho tiempo y ya existen algunas configuraciones realmente extrañas o que han sido particularmente adecuadas a otras necesidades, solo si prestaste atención a los ejemplos que te hemos compartido.





Conclusiones


Cuando los investigadores de seguridad independientes descubren los riesgos de seguridad en los servicios/paginas web y comprenden la gravedad del riesgo, a menudo carecen de los canales para divulgarlos adecuadamente. Como resultado, los problemas de seguridad pueden quedar sin reportar. security.txt define un estándar para ayudar a las organizaciones a definir el proceso para que los investigadores de seguridad revelen las vulnerabilidades de seguridad de forma segura.

links & referencias: 


Si deseas mas información o consultar las fuentes bibliográficas, aquí te dejamos…





Dejar un comentario