Hace ya muchos años, harto de no saber cómo actuar cuando una vulnerabilidad era descubierta en una página web, yo propuse la creación de un fichero llamado Hackers.TXT para que los investigadores supieran cómo debían actuar sin tener un problema legal.
Una idea que a mí me parecía una necesidad en el mundo de hoy en día, y que incluso muchos compañeros me pidieron que empujar con más fuerza. De hecho, algunos researchers reservaron hackers.org y otros canales para potenciar esta idea, y en varios rincones del mundo se solicitaba formalmente una definición. A mi me bastaba con un texto informativo.
Figura 2: Petición de definición de hackers.txt |
En ausencia de esta información, las alternativas de los investigadores era reportar a empresa que tuvieran Bug Bounties abiertas o que fueran Hacking Friendly, y no reportar ninguna en el resto de las empresas.
Figura 3: Draft para Security.TXT |
Ahora, me alegra ver que hay desde ese mes de Agosto un draft propuesto para esta idea, con el nombre de Security.TXT y que está abierto para debate en el IETF, bajo el nombre de "A Method for Web Security Policies".
Figura 4: Motivación, Terminología y Especificación para SECURITY.TXT |
La idea es tan sencilla como yo proponía en Hackers.txt, es decir, que un investigador supiera cómo actuar cuando una vulnerabilidad había sido descubierta, lo que ayuda a explicar si hay una Bug Bounty o no abierta, y dar los puntos de contactos habilitados.
Figura 5: La definición del formato |
Con un formato muy sencillo que se puede ver en esta definición, el fichero SECURITY.TXT, publicado en el path raíz de una aplicación web, daría toda la información que necesitan los investigadores para saber cómo actuar y eliminaría uno de los problemas que aún siguen teniendo:
- ¿Cómo lo reporto?
- ¿Me voy a meter en algún lío?
- ¿Hay algún premio por ello?
Saludos Malignos!
¡Marge!¡Se robaron mi idea!
ResponderEliminarBuenas, Chema:
ResponderEliminarSoy el autor del dibujo del tipo naranja que aparece en este post. Cuando tengas un hueco escríbeme a carlos at spacenomads.com y vemos cómo ha llegado a tu blog sin atribución ni nada :)
Un saludo.