Xem nhanh
Nếu được đội đặc trách kỹ thuật Internet (IETF) thông qua, đây sẽ sớm trở thành một chuẩn mà webmaster sẽ dễ tìm ra các lỗi bảo mật.
Theo đó, lập trình viên web và nhà nghiên cứu bảo mật Ed Foundil mới đây đã gửi một bản thảo đến IETF (Internet Engineering Task Force – đội đặc trách kỹ thuật Internet) nhằm tìm kiếm một quy chuẩn mới cho security.txt. Đây sẽ là một tập tin text mà webmaster có thể chứa trên máy chủ của website và có nhiệm vụ mô tả chính sách bảo mật của trang web mình đang quản trị.
Về nguyên tắc, nội dung tập tin này sẽ tương tự như robots.txt, một tiêu chuẩn được các website dùng để giao tiếp và định nghĩa các chính sách cho web và các máy quét tìm kiếm.
Security.txt sẽ phụ trách các vấn đề liên quan đến bảo mật
Điểm khác biệt của security.txt là nó sẽ dùng để liên lạc đến công ty bảo mật, và có thể dễ dàng đọc bởi con người hơn là một chương trình tự động.
Ví dụ, khi một nhà nghiên cứu tìm ra lỗi bảo mật trên website, anh ta có thể truy cập vào security.txt để tìm thông tin về cách liên lạc với công ty chủ quản và thông báo vấn đề phát hiện một cách an toàn.
Theo mẫu gửi cho IETF, chủ website có thể tạo ra tập tin security.txt với nội dung tương tự như bên dưới:
#This is a comment
Contact: [email protected]
Contact: +1-201-555-0123
Contact: https://example.com/security
Encryption: https://example.com/pgp-key.txt
Acknowledgement: https://example.com/acknowledgements.html
Disclosure: Full
Cộng đồng Infosec tán đồng với ý kiến này
Theo Bleeping Computer, Foudil cho biết ý tưởng này nảy ra khi anh tham dự hội nghị bảo mật DEF CON và sự kiện H1702 CTF tại Mỹ hồi tháng 8 này.
Phiên bản đầu tiên của security.txt mà Foudil đăng tải sau đó lên GitHub đã nhận được phản hồi rát tốt từ ngành công nghiệp bảo mật IT, thúc đẩy nhà nghiên cứu này tiếp tục. Anh cho biết đã nhận được phản hồi từ HackerOne, Bugcrowd, Google, và nhiều người nữa giúp anh làm tinh gọn lại bản kiến nghị gửi IETF.
Khởi đầu nhỏ nhưng khả năng nâng cấp tốt hơn
Bản kiến nghị đầu tiên của security.txt hiện chỉ mới hỗ trợ 4 chỉ dẫn (liên lạc, mã hoá, tiết lộ và nhìn nhận), phiên bản trên GitHub liệt kê nhiều hơn như trong hay không có phạm vi-vuln, giới hạn về mức, nền tảng, phần thưởng, phương thức thanh toán, đơn vị tiền tệ, tài trợ và không cho phép.
Hiện security.txt đang ở trạng thái Internet Draft, đây là bước quy định đầu tiên đầu tiên trong quy trình ba giai đoạn của IETF, bao gồm RFC (Request For Comment) và Tiêu chuẩn Internet chính thức. Khi security.txt đến bước RFC, nó sẽ chuyển sang lan rộng và khuyến khích các công ty cài đặt một tập tin security.txt.
Một số nền tảng săn lỗi kiếm tiền thưởng (bug bounty platform) đã được cung cấp và hy vọng nếu một số các công ty lớn có một tập tin security.txt sẽ là một ví dụ tốt để có thể thuyết phục các công ty khác làm theo.
Dịch từ BleepingComputer