In der Regel haben die wenigsten Webentwickler, Designer, Hoster und andere Technikbegeisterten von der security.txt gehört, sicher jedoch schon einmal von der robots.txt-Datei. Diese einfache Textdatei findet man stets im Hauptverzeichnis einer Website. Sie gibt Crawlern der großen Suchmaschinen Anweisungen darüber, welche Seiten sie crawlen und indexieren dürfen. Die robots.txt ist dabei ein Internetstandard mit eigener RFC zu werden.

Genau diese Verbreitung und Akzeptanz versucht man mit der security.txt auch für die Sicherheit einer Webapplikation zu bekommen.

security.txt – robots.txt meets Sicherheit

Aus diesem Grund veröffentlichten Sicherheitsenthusiasten Anfang 2018 den erste Entwurf einer RFC für die Deklarierung der security.txt.

Die security.txt-Datei soll mehrere Probleme lösen, auf die BugBounty Hunter, IT-Securityforscher und andere ehrliche Finder von Schwachstellen regelmäßig treffen:

Die security.txt löst diese Probleme folgendermaßen:

Leicht zu finden

Diese einfache Datei schafft also klare Fakten und erleichtert den ehrlichen Findern von Schwachstellen das Leben sowie die Suche nach einer Anlaufstelle im Falle eines Findings. Gleichzeitig zeigt sie auf, dass das Unternehmen sich mit dem Thema IT-Sicherheit beschäftigt.

Die security.txt von HXNWRK
Die security.txt von HXNWRK

Auch die security.txt ist auf dem besten Weg, ein eigener Standard zu werden. Sie unterliegt jedoch noch laufenden Änderungen. Unter nachfolgendem Link ist der Entwurf in der Version 11 zu finden: Link

Nach diesem Standard soll sie entweder im Hauptverzeichnis der Domain oder im Unterverzeichnis “.well-known“ gespeichert werden.

Einfache Erstellung der security.txt

Um die Verbreitung weiter zu fördern und die Erstellung maximal zu vereinfachen haben die Sicherheitsforscher EdOverflow und Yakov Shafranovich die Website securitytxt.org erstellt, welche ein praktisches Tool zur Erstellung einer eigenen Version enthält.

Die security.txt von HXNWRK findet man hier.