Forslag standardiserer sikkerhedsinformation for websteder

En sikkerhedsforsker foreslår en standardiseret metode for websteder til at oplyse, hvordan man henvender sig om sikkerhedsproblemer.

Sikkerhedsforsker Edwin Foudil står bag forslaget "A Method for Web Security Policies", som er indleveret til IETF (Internet Engineering Task Force). Formålet er at gøre det lettere for sikkerhedsforskere at kommunikere med folkene bag websteder, når de opdager sikkerhedsproblemer.

Han foreslår, at et websted kan offentliggøre en fil ved navn "Security.txt" på serverens rodniveau. I filen er der fire afsnit: Contact, Encryption, Disclosure og Acknowledgement.

Afsnittet med Contact oplyser, hvor sikkerhedsforskere skal sende information om potentielle sikkerhedsproblemer til. Det kan være e-mail, telefonnumre eller et link til webside med yderligere information.

Encryption-afsnittet kan indeholde et link til en nøgle, der kan bruges til krypteret mail-kommunikation.

Disclosure-afsnittet angiver, om organisationen ønsker at offentliggøre sikkerhedsproblemer.

Under Acknowledgement kan man angive link til en side, hvor man siger tak til sikkerhedsforskere for deres indsats.

Forslaget er i høring frem til den 20. februar 2018.

Links