_ _ _ _____ ___ __ __ _(_) | _(_)___ / ( _ ) / /_ ___ ___ _ __ ___ \ \ /\ / / | |/ / | |_ \ / _ \| '_ \ / __/ _ \| '_ ` _ \ \ V V /| | <| |___) | (_) | (_) | (_| (_) | | | | | | \_/\_/ |_|_|\_\_|____/ \___/ \___(_)___\___/|_| |_| |_|
security.txt
je navrhovaný standard v podobě jednoduchého textového souboru. Poskytuje informace týkající se zabezpečení webových stránek. Zajišťuje jednoduchý a rychlý přístup k těmto informacím, které zjednodušují často komplikované oznamování bezpečnostních chyb.[1] Přesný název návrhu je „A Method for Web Security Policies“ (Metoda pro zásady zabezpečení webu). Tento soubor by měl být uložen na předvídatelném místě, aby ho bylo možné lehce dohledat. Pro weby je to v adresáři /.well-known/
.[2] Schéma je obdobou robots.txt, ale je určené pro čtení lidmi. [3]
Na web musí organizace umístit soubor pod cestu /.well-known/
, např. https://example.com/.well-known/security.txt. Pro přístup k souboru je také nutné používat protokol HTTPS. Soubor také může být uložen v kořenovém adresáři webové stránky anebo ho lze umístit do obou umístění zároveň. [4]
Soubor obsahuje několik polí. Každé pole vždy sestává ze směrnice a hodnoty, a musí být uvedeno na samostatném řádku. Jedna směrnice smí obsahovat pouze jednu hodnotu, ale lze uvést i více stejných směrnic s různými hodnotami. Soubor může obsahovat i prázdné řádky. Formát souboru se musí řídit gramatikou ABNF (Rozšířená Backusova-Naurova forma).
Pole Acknowledgements nabízí odkaz na stránku s poděkováním výzkumníkům, kteří již nahlásili a opravili nějaké bezpečnostní chyby.
Canonical je pole pro označení umístění souboru. Pokud se toto pole v souboru nenachází, nemusí být obsah důvěryhodný. Je důležité v souboru pole zahrnout, pokud používáme digitální podpis, aby i umístění mohlo být podepsáno.
Pole Contact označuje adresu, kam se mají bezpečnostní chyby nahlásit. Může to být například e-mailová adresa, telefonní číslo, ale i webová stránka s kontaktními informacemi. Každý security.txt
musí alespoň jedno toto pole vždy obsahovat.
Encryption označuje šifrovací klíč, který by měli výzkumníci používat pro šifrovanou komunikaci. Klíč se v tomto poli nesmí přímo objevit, místo toho bývá hodnotou URI odkazující na odhalení klíče.
V poli Expires je uvedeno datum a čas, po kterém jsou data v souboru považována za zastaralé a neměly by být dále používány. Doporučuje se hodnota, která je kratší než jeden rok, aby se udržela aktuálnost informací v souboru. Toto pole musí být vždy v souboru obsaženo a nesmí se objevit více než jednou.
Policy nabízí odkaz na bezpečnostní politiku firmy a etická pravidla. Tento údaj není povinný.
Pole Preferred-Languages lze použít jako výčet preferovaných jazyků, ve kterých má být chyba hlášena. Tato sada může obsahovat více hodnot oddělených čárkami, ale pole se smí objevit v souboru nejvíce jednou. Všechny vypsané jazyky mají stejnou prioritu, nezáleží tedy na pořadí, ve kterém jsou uvedeny. Pokud chybí mohou výzkumníci předpokládat, že základním jazykem je angličtina. [4][5]
Soubor může obsahovat i další směrnice (Comments, Extensibility, Hiring…) a je silně doporučeno, aby byl soubor digitálně podepsán.[4] Lze celý soubor vygenerovat na oficiálním webu https://securitytxt.org.[6]
Canonical: https://www.example.com/.well-known/security.txt Contact: mailto:[email protected] Contact: tel:+1234567890 Encryption: https://example.com/pgp-key.txt Policy: https://example.com/policy.html Acknowledgements: https://example.com/hall-of-fame.html Preferred-Languages: en, cs Expires: 2021-12-31T23:00:00z
V srpnu roku 2017 vytvořil webový vývojář a výzkumník v oblasti bezpečnosti Edwin Foudil gitový repositář pro security.txt na GitHubu a požádal zde o zpětnou vazbu a nápady. Internetový návrh poprvé předložil v září 2017 skupině Internet Engineering Task Force (IETF).[3] V té době soubor zahrnoval čtyři hlavní směrnice – Contact, Encryption, Disclosure a Acknowledgements.[4] Foudil očekával přidání dalších směrnic právě na základě zpětné vazby. [7]
V roce 2019 zveřejnila Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) návrh závazné operativní směrnice, podle níž musí všechny federální agentury do 180 dnů zveřejnit soubor security.txt
.[7]
V prosinci 2019 vydala skupina Internet Engineering Steering Group (IESG) poslední výzvu k předkládání připomínek k security.txt
, která skončila 6. ledna 2020.[7]