jueves, septiembre 14, 2017

Security.TXT un draft del IETF para mi Hackers.TXT

Hace ya muchos años, harto de no saber cómo actuar cuando una vulnerabilidad era descubierta en una página web, yo propuse la creación de un fichero llamado Hackers.TXT para que los investigadores supieran cómo debían actuar sin tener un problema legal. 

Figura 1: Security.TXT un draft del IETF para mi Hackers.TXT

Una idea que a mí me parecía una necesidad en el mundo de hoy en día, y que incluso muchos compañeros me pidieron que empujar con más fuerza. De hecho, algunos researchers reservaron hackers.org y otros canales para potenciar esta idea, y en varios rincones del mundo se solicitaba formalmente una definición. A mi me bastaba con un texto informativo.

Figura 2: Petición de definición de hackers.txt

En ausencia de esta información, las alternativas de los investigadores era reportar a empresa que tuvieran Bug Bounties abiertas o que fueran Hacking Friendly, y no reportar ninguna en el resto de las empresas. 

Figura 3: Draft para Security.TXT

Ahora, me alegra ver que hay desde ese mes de Agosto un draft propuesto para esta idea, con el nombre de Security.TXT y que está abierto para debate en el IETF, bajo el nombre de "A Method for Web Security Policies".

Figura 4: Motivación, Terminología y Especificación para SECURITY.TXT

La idea es tan sencilla como yo proponía en Hackers.txt, es decir, que un investigador supiera cómo actuar cuando una vulnerabilidad había sido descubierta, lo que ayuda a explicar si hay una Bug Bounty o no abierta, y dar los puntos de contactos habilitados.

Figura 5: La definición del formato

Con un formato muy sencillo que se puede ver en esta definición, el fichero SECURITY.TXT, publicado en el path raíz de una aplicación web, daría toda la información que necesitan los investigadores para saber cómo actuar y eliminaría uno de los problemas que aún siguen teniendo:
- ¿Cómo lo reporto?
- ¿Me voy a meter en algún lío?
- ¿Hay algún premio por ello?
Saludos Malignos!

2 comentarios:

[deXter] dijo...

¡Marge!¡Se robaron mi idea!

Unknown dijo...

Buenas, Chema:

Soy el autor del dibujo del tipo naranja que aparece en este post. Cuando tengas un hueco escríbeme a carlos at spacenomads.com y vemos cómo ha llegado a tu blog sin atribución ni nada :)

Un saludo.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares