En ekstern sikkerhedsperson finder en sårbarhed på din hjemmeside.
Han vil gerne infomere virksomheden, men hvordan finder han den rette person i virksomheden?
Ofte er det ikke nemt.. så virksomheden får aldrig den viden, før en hacker udnytter sårbarheden.
Der har derfor længe været forslag til en standardiseret måde, at finde relevant kontakt info på; via en fil på hjemmesiden [security.txt].
Den placeres som ren tekst fil [security.txt], så den nemt kan findes f.eks. https://schmitto.dk/security.txt eller som flere gør /.well-know/security.txt
Eksempler:
- Lego: https://www.lego.com/.well-known/security.txt
- Facebook: https://www.facebook.com/.well-known/security.txt
- Google: https://www.google.com/.well-known/security.txt
- Github: https://github.com/.well-known/security.txt
- Sensitive Information Facility på Københavns Universitet: https://sif.ku.dk/.well-known/security.txt
- DSB: https://www.dsb.dk/.well-known/security.txt
Hvad bør jeg gøre nu?
- Læs mere om standarden -> https://securitytxt.org
- Opret en security.txt hjemmesiden.
- Upload security.txt på hjemmesiden.