18 maggio 2022
File Security.txt: cos'è, a cosa serve e perché non puoi farne a meno
Scritto daAlex Baldarelli
La protezione di un sito web passa sicuramente attraverso l’implementazione di un’opportuna strategia di cybersecurity. Tra le diverse attività, questa deve comprendere anche l’opportunità per terzi di segnalare eventuali vulnerabilità presenti. Un contatto tramite social media, potrebbe far perdere credibilità alla segnalazione o finire nel dimenticatoio, per questo è importante dotare il sito di un apposito file dedicato alle segnalazioni di problematiche in termini di Security.
Il file Security.txt permette agli esperti di sicurezza informatica di avvisare il webmaster dell’esistenza di criticità sul sito, che possono consentire ad hacker malintenzionati di prenderne possesso, rubare i dati o criptarli per poi richiedere un riscatto. La comunicazione tempestiva di una “falla” può veramente fare la differenza: non puoi veramente farne a meno.
Pensa che hanno deciso di adottare l’implementazione di un file Security.txt anche l’Agenzia per l’Italia Digitale, Google, Facebook e persino il governo italiano, francese, del Regno Unito e la Cybersecurity and Infrastructure Security Agency statunitense.
Un’analisi condotta nel 2020, dimostra che quasi 3.000 dei 666.000 siti Web più popolari secondo Alexa avevano un file security.txt. Nell’aprile 2021, circa l'1% dei primi 100.000 Alexa, il 3% dei primi 10.000 e il 15% dei primi 100 siti Web avevano un file Security.txt.
E tu? Non hai ancora implementato un file Security.txt? Scopri come funziona!
Security.txt, come funziona
Ricordiamo, innanzitutto, che il file Security.txt differisce da Robots.txt perché risulta leggibile anche dall’utente, essendo redatto in un alfabeto “umano”.
Il file Security.txt deve obbligatoriamente contenere il contatto da utilizzare per la segnalazione, la data di “scadenza”, oltre il quale il file non è più da considerare. Solo questi due campi sono obbligatori nel file Security.txt, ma è fortemente consigliato renderlo il più completo possibile.
Risulta utile, infatti, anche allegare la chiave crittografica, che servirà ai ricercatori per inviare la comunicazione in modo anonimo e protetto. A questo si aggiunge un link alla policy security dell’azienda ed eventuali posizioni aperte in ambito cybersecurity in azienda. Infine, si possono aggiungere i ringraziamenti per chi ha contribuito a mettere in sicurezza il sito web, la lingua in cui si preferisce ricevere il rapporto e la firma digitale.
Contact: https://provaprova/contact
Contact: Tel: +10 000000
Contact: mailto: prova@provaprova.it
Expires: 2022-10-19T10:59:59Z
1. Encryption: https://www.prova.it/pgp-key.txt
2. Encryption: TFBWU33489RHFW8EFH08RH209EHDFW09ERUD3RUD2893RU2093DRU29RUWE,9RU’C’RWMRWWWFHCMUSDFHSDFHUSHU
FHDICFHSIDHCFWSDFW38RW3RWGRW9RGDWEDGX8W9EGR89WEGHDR89WEHDR9M2R89WHUERH89DWH89RHW89XHR89WHMRXHFUXHW9FS
AHHSHFMUERCH9WR9WE9
Acknowledgments: https://www.prova.it/acknowledgements.txt
Preferred-Languages: it, en, de
Nel caso in cui il file venga firmato apparirà in questa forma:
Hello, this is a PGP clearsigned message. -----BEGIN PGP SIGNATURE----- Version: GnuPG v4
TFBWU33489RHFW8EFH08RH209EHDFW09ERUD3RUD2893RU2093DRU29RUWE,9RU’C’RWMRWWWFHCMUSDFHSDFHU
SHUFHDICFHSIDHCFWSDFW38RW3RWGRW9RGDWEDGX8W9EGR89WEGHDR89WEHDR9M2R89WHUERH89DWH89RHW89XHR89WHMRXHFUXHW9FSAHHSHFMUERCH9WR9WE9
-----END PGP SIGNATURE-----
Nel caso in cui si decida di firmare il file, è estremamente consigliato specificare l’URL canonica dove si trova il file.
Ecco un esempio:
Canonical: https://www.prova.it/.well-known/security.txt
Policy: https://www.prova.it/privacy-policy
Hiring: https://www.prova.it/openpositions.html
A queste voci, puoi aggiungere dei commenti identificativi della funzione svolta da ognuna di esse: può essere un’ottima soluzione anche come promemoria. La sintassi è semplice, basta anteporre il simbolo “#” al commento stesso.
Esempio:
# Prova commento.
Ecco quindi una struttura tipo del file Security.txt: puoi copiarlo e incollarlo in un blocco note, ma per una creazione semplice e immediata, continua a leggere il paragrafo successivo: ti suggeriremo un sito web che ti consente di crearlo in un attimo!
Contact: mailto: prova@provaprova.it
Expires: Thu, 10 Mar 2022 00:00 +0100
Encryption: https://www.prova.it/pgp-key.txt
Acknowledgments: https://www.prova.it/acknowledgements.txt
Preferred-Languages: it, en, de
Canonical: https://www.prova.it/.well-known/security.txt
Policy: https://www.prova.it/privacy-policy
Hiring: https://www.prova.it/openpositions.html
Vuoi implementare il file Security.txt e ricevere così segnalazioni su eventuali vulnerabilità del tuo sito? Contattaci!
Come creare un file Security.txt e dove inserirlo
Dopo aver visto le diverse voci che compongono un file Security.txt, vediamo come crearlo e dove collocarlo per essere trovato facilmente dai potenziali “segnalatori”.
Il sito web securitytxt.org fornisce una soluzione rapida, completa e gratuita per la creazione del file. In sostanza, tramite un’interfaccia estremamente si compilano i campi obbligatori (contatto e data di scadenza) e i restanti facoltativi desiderati: il sito, in output, restituisce un file .txt pronto all’uso! Nel secondo step della creazione del file, Securitytxt.org consente di inserire la firma digitale in chiaro OpenPGP, descritta precedentemente. Troverai, sullo stesso sito, un video riassuntivo che fornisce dettagli importanti e utilissimi sul file. Non perderlo!
Il sito ricorda che il file deve essere servito su protocollo HTTPS e deve essere un file di tipo “plain text”, ossia non formattato e leggibile da qualsiasi programma. Inoltre, si suggerisce anche dove inserire il file, per essere facilmente raggiungibile da chiunque volesse segnalare vulnerabilità. Il consiglio è sempre quello di collocarlo nella directory /.well-known/ o nella root del Web Server, soprattutto se per svariati motivi tecnici la directory non potesse essere utilizzata. Ad ogni modo, il file Security.txt può essere inserito anche in entrambe le cartelle.
Un ultimo riferimento importante del sito securitytxt.org è quello relativo allo standard. Tra le domande frequenti c’è security.txt è un RFC? Vediamo la risposta nel paragrafo successivo.
Security.txt: la corsa infinita verso lo standard
RFC è l’acronimo di Request for Comments, ossia un documento pubblicato dalla Internet Engineering Task Force (IETF), l’organismo internazionale che si occupa di sviluppare e stabilire standard validi sul web.
Questo documento RFC contiene informazioni o specifiche riguardanti nuove ricerche e innovazioni proposte per diventare standard su Internet.
Attualmente, il file Security.txt è una bozza che è stata inviata per la revisione RFC, pertanto siamo ancora nelle prime fasi affinché diventi uno standard.
Nelle scorse settimane, l’IETF ha pubblicato il documento RFC9116 dove viene il file Security.txt viene sviscerato dettagliatamente in tutte le sue parti, con estrema precisione. Il documento ha uno stato “informativo”, pertanto il file non sembra destinato a diventare un vero e proprio standard, ma solo un informazione utile alla community. Dalla bozza del 2017, pertanto, non sono stati fatti concreti passi in avanti in questo senso.
Non solo, lo stesso documento RFC9116 chiarisce che il file Security.txt potrebbe essere sfruttato da utenti malintenzionati. Questi sono sempre pronti a modificare il file al fine di “dirottare” i report contenenti le vulnerabilità sulla propria casella email. In questo modo, la via verso la violazione del sito è dietro l’angolo.
In quest’ottica è importantissimo il campo “Canonical” per indicare le posizione del file, così come la firma digitale. Ricordarsi, ad ogni modo, di controllare periodicamente il file per rilevare tempestivamente la manomissione.
Inoltre, di contro, il file Security.txt comporta, come detto in precedenza e sottolineato dallo stesso ideatore Edwin Foudil, un elevato rischio spam. La maggior parte delle email, infatti, arriveranno da software automatici di penetration avviati da ricercatori che, senza che nessuno glielo avesse chiesto, eseguono test di vulnerabilità e inviano report nella speranza di spingere i proprietari dei siti web a contattarli per una consulenza cybersecurity.
Nel frattempo, mentre prosegue questa corsa infinita del file Security.txt verso lo status di “standard”, esistono dei bot che permettono di scansionare i 500 Top Domain degli Stati Uniti d’America ( tra i quali i già citati Google, Facebook e Linkedin) e analizzano il loro “security.txt”.
Dai subito un’occhiata: https://gotsecuritytxt.com/us.
Realizziamo siti web sicuri e privi di plugin hackerabili: contattaci subito!
Il file Security.txt permette agli esperti di sicurezza informatica di avvisare il webmaster dell’esistenza di criticità sul sito, che possono consentire ad hacker malintenzionati di prenderne possesso, rubare i dati o criptarli per poi richiedere un riscatto. La comunicazione tempestiva di una “falla” può veramente fare la differenza: non puoi veramente farne a meno.
Pensa che hanno deciso di adottare l’implementazione di un file Security.txt anche l’Agenzia per l’Italia Digitale, Google, Facebook e persino il governo italiano, francese, del Regno Unito e la Cybersecurity and Infrastructure Security Agency statunitense.
Un’analisi condotta nel 2020, dimostra che quasi 3.000 dei 666.000 siti Web più popolari secondo Alexa avevano un file security.txt. Nell’aprile 2021, circa l'1% dei primi 100.000 Alexa, il 3% dei primi 10.000 e il 15% dei primi 100 siti Web avevano un file Security.txt.
E tu? Non hai ancora implementato un file Security.txt? Scopri come funziona!
Security.txt, come funziona
Ricordiamo, innanzitutto, che il file Security.txt differisce da Robots.txt perché risulta leggibile anche dall’utente, essendo redatto in un alfabeto “umano”.
Il file Security.txt deve obbligatoriamente contenere il contatto da utilizzare per la segnalazione, la data di “scadenza”, oltre il quale il file non è più da considerare. Solo questi due campi sono obbligatori nel file Security.txt, ma è fortemente consigliato renderlo il più completo possibile.
Risulta utile, infatti, anche allegare la chiave crittografica, che servirà ai ricercatori per inviare la comunicazione in modo anonimo e protetto. A questo si aggiunge un link alla policy security dell’azienda ed eventuali posizioni aperte in ambito cybersecurity in azienda. Infine, si possono aggiungere i ringraziamenti per chi ha contribuito a mettere in sicurezza il sito web, la lingua in cui si preferisce ricevere il rapporto e la firma digitale.
- Contatto: oltre all’indirizzo mail, possono essere inseriti il numero di telefono o un form. In questo modo avrai la certezza di non essere tempestato di spam, ma di contro c’è la minor possibilità di essere contattato direttamente per le segnalazioni. Ricordati, per la mail, di anticipare l’indirizzo con la sintassi: “mailto:”
Contact: https://provaprova/contact
Contact: Tel: +10 000000
Contact: mailto: prova@provaprova.it
- Data di scadenza: un’altra direttiva obbligatoria. Indicando la scadenza si permette di comprendere quando i dati contenuti nel file possono essere considerati obsoleti e non devono essere più utilizzati. Si consiglia di indicare una data non superiore a un anno e di aggiornare periodicamente il file.
Expires: 2022-10-19T10:59:59Z
- Chiave crittografica: mettere a disposizione la chiave crittografica OPEN PGP (Pretty Good Privacy), consente a chi segnala di trasmettere le informazioni in modo sicuro. Ricordati che se la password viene fornita mediante un collegamento, aggiungi sempre https:// .
1. Encryption: https://www.prova.it/pgp-key.txt
2. Encryption: TFBWU33489RHFW8EFH08RH209EHDFW09ERUD3RUD2893RU2093DRU29RUWE,9RU’C’RWMRWWWFHCMUSDFHSDFHUSHU
FHDICFHSIDHCFWSDFW38RW3RWGRW9RGDWEDGX8W9EGR89WEGHDR89WEHDR9M2R89WHUERH89DWH89RHW89XHR89WHMRXHFUXHW9FS
AHHSHFMUERCH9WR9WE9
- Ringraziamenti: i ringraziamenti ai ricercatori che hanno contribuito alla sicurezza del sito vanno inseriti in una pagina o in un file appositamente creato.
Acknowledgments: https://www.prova.it/acknowledgements.txt
- Lingua preferita: ricevere un report security in una lingua incomprensibile sarebbe inutile. E’ importante specificare in quale lingua si vuole ricevere la segnalazione. E’ possibile anche indicare più lingue, separandole con la virgola.
Preferred-Languages: it, en, de
- URL canonico e firma digitale: per dimostrare ai potenziali segnalatori l’autenticità dei dati nel file, la soluzione ideale è quella di aggiungere una firma digitale: in questo modo, si fornisce la sicurezza che il file non è stato modificato da un utente malintenzionato.
Nel caso in cui il file venga firmato apparirà in questa forma:
Hello, this is a PGP clearsigned message. -----BEGIN PGP SIGNATURE----- Version: GnuPG v4
TFBWU33489RHFW8EFH08RH209EHDFW09ERUD3RUD2893RU2093DRU29RUWE,9RU’C’RWMRWWWFHCMUSDFHSDFHU
SHUFHDICFHSIDHCFWSDFW38RW3RWGRW9RGDWEDGX8W9EGR89WEGHDR89WEHDR9M2R89WHUERH89DWH89RHW89XHR89WHMRXHFUXHW9FSAHHSHFMUERCH9WR9WE9
-----END PGP SIGNATURE-----
Nel caso in cui si decida di firmare il file, è estremamente consigliato specificare l’URL canonica dove si trova il file.
Ecco un esempio:
Canonical: https://www.prova.it/.well-known/security.txt
- Policy Security: accedere alla policy security dell’azienda proprietaria del sito, consente a chi volesse segnalare una vulnerabilità di avere una panoramica su come viene gestita la sicurezza del sito web stesso. Sulla base della policy, i ricercatori potranno preparare un report più circoscritto allo specifico contesto.
Policy: https://www.prova.it/privacy-policy
- Posizioni aperte Cybersecurity: la tua azienda sta cercando nuove risorse che si occupino di sviluppare una strategia di Cybersecurity o semplicemente che monitorino lo stato di sicurezza? Nel file Security.txt inserisci il link alla tua pagina Open Positions!
Hiring: https://www.prova.it/openpositions.html
A queste voci, puoi aggiungere dei commenti identificativi della funzione svolta da ognuna di esse: può essere un’ottima soluzione anche come promemoria. La sintassi è semplice, basta anteporre il simbolo “#” al commento stesso.
Esempio:
# Prova commento.
Ecco quindi una struttura tipo del file Security.txt: puoi copiarlo e incollarlo in un blocco note, ma per una creazione semplice e immediata, continua a leggere il paragrafo successivo: ti suggeriremo un sito web che ti consente di crearlo in un attimo!
Contact: mailto: prova@provaprova.it
Expires: Thu, 10 Mar 2022 00:00 +0100
Encryption: https://www.prova.it/pgp-key.txt
Acknowledgments: https://www.prova.it/acknowledgements.txt
Preferred-Languages: it, en, de
Canonical: https://www.prova.it/.well-known/security.txt
Policy: https://www.prova.it/privacy-policy
Hiring: https://www.prova.it/openpositions.html
Vuoi implementare il file Security.txt e ricevere così segnalazioni su eventuali vulnerabilità del tuo sito? Contattaci!
Come creare un file Security.txt e dove inserirlo
Dopo aver visto le diverse voci che compongono un file Security.txt, vediamo come crearlo e dove collocarlo per essere trovato facilmente dai potenziali “segnalatori”.
Il sito web securitytxt.org fornisce una soluzione rapida, completa e gratuita per la creazione del file. In sostanza, tramite un’interfaccia estremamente si compilano i campi obbligatori (contatto e data di scadenza) e i restanti facoltativi desiderati: il sito, in output, restituisce un file .txt pronto all’uso! Nel secondo step della creazione del file, Securitytxt.org consente di inserire la firma digitale in chiaro OpenPGP, descritta precedentemente. Troverai, sullo stesso sito, un video riassuntivo che fornisce dettagli importanti e utilissimi sul file. Non perderlo!
Il sito ricorda che il file deve essere servito su protocollo HTTPS e deve essere un file di tipo “plain text”, ossia non formattato e leggibile da qualsiasi programma. Inoltre, si suggerisce anche dove inserire il file, per essere facilmente raggiungibile da chiunque volesse segnalare vulnerabilità. Il consiglio è sempre quello di collocarlo nella directory /.well-known/ o nella root del Web Server, soprattutto se per svariati motivi tecnici la directory non potesse essere utilizzata. Ad ogni modo, il file Security.txt può essere inserito anche in entrambe le cartelle.
Un ultimo riferimento importante del sito securitytxt.org è quello relativo allo standard. Tra le domande frequenti c’è security.txt è un RFC? Vediamo la risposta nel paragrafo successivo.
Security.txt: la corsa infinita verso lo standard
RFC è l’acronimo di Request for Comments, ossia un documento pubblicato dalla Internet Engineering Task Force (IETF), l’organismo internazionale che si occupa di sviluppare e stabilire standard validi sul web.
Questo documento RFC contiene informazioni o specifiche riguardanti nuove ricerche e innovazioni proposte per diventare standard su Internet.
Attualmente, il file Security.txt è una bozza che è stata inviata per la revisione RFC, pertanto siamo ancora nelle prime fasi affinché diventi uno standard.
Nelle scorse settimane, l’IETF ha pubblicato il documento RFC9116 dove viene il file Security.txt viene sviscerato dettagliatamente in tutte le sue parti, con estrema precisione. Il documento ha uno stato “informativo”, pertanto il file non sembra destinato a diventare un vero e proprio standard, ma solo un informazione utile alla community. Dalla bozza del 2017, pertanto, non sono stati fatti concreti passi in avanti in questo senso.
Non solo, lo stesso documento RFC9116 chiarisce che il file Security.txt potrebbe essere sfruttato da utenti malintenzionati. Questi sono sempre pronti a modificare il file al fine di “dirottare” i report contenenti le vulnerabilità sulla propria casella email. In questo modo, la via verso la violazione del sito è dietro l’angolo.
In quest’ottica è importantissimo il campo “Canonical” per indicare le posizione del file, così come la firma digitale. Ricordarsi, ad ogni modo, di controllare periodicamente il file per rilevare tempestivamente la manomissione.
Inoltre, di contro, il file Security.txt comporta, come detto in precedenza e sottolineato dallo stesso ideatore Edwin Foudil, un elevato rischio spam. La maggior parte delle email, infatti, arriveranno da software automatici di penetration avviati da ricercatori che, senza che nessuno glielo avesse chiesto, eseguono test di vulnerabilità e inviano report nella speranza di spingere i proprietari dei siti web a contattarli per una consulenza cybersecurity.
Nel frattempo, mentre prosegue questa corsa infinita del file Security.txt verso lo status di “standard”, esistono dei bot che permettono di scansionare i 500 Top Domain degli Stati Uniti d’America ( tra i quali i già citati Google, Facebook e Linkedin) e analizzano il loro “security.txt”.
Dai subito un’occhiata: https://gotsecuritytxt.com/us.
Realizziamo siti web sicuri e privi di plugin hackerabili: contattaci subito!
