Enregistrer un `security.txt` à consulter lors du signalement de vulnérabilités de sécurité
(mailarchive.ietf.org)Il semble que ce soit en cours d’examen (?) à l’IETF.
Cela me rappelle le commentaire d’un expert en sécurité, il n’y a pas longtemps, disant qu’il avait souvent trouvé des vulnérabilités de sécurité mais les avait laissées telles quelles faute de savoir qui contacter.
Il reste à voir quelle utilité cela aura réellement à l’avenir, puisqu’il s’agit de définir l’emplacement et le contenu de ce fichier, entre autres.
1 commentaires
C’est la version Security de
robots.txt.Our security address
Contact: security@example.com
Encryption: https://example.com/pgp-key.txt
Il suffit de le placer à la racine de cette manière...
En Corée, on demande d’indiquer le responsable de la sécurité de l’information en bas des sites web ou dans les conditions d’utilisation, mais cela semble être une méthode plus systématique.
Si cela est finalement adopté, j’imagine que cela pourrait aussi être appliqué en Corée.