Le fichier security.txt

Les annĂ©es passent, et les procĂ©dures de sĂ©curitĂ© Ă©galement. Depuis que je me suis remis Ă  la SSI, je dĂ©couvre que certaines mĂ©thodes que j’utilisais sont devenues obsolĂštes, telles que le Certficate-Pinning, dĂ©prĂ©ciĂ© au profit de l’entĂȘte HTTP Expect-CT (Je n’ai trouvĂ© que des drafts de la spĂ©cification sur le site de l’IETF, dĂ©solĂ©).

Je tiens Ă  remercier Y0no pour la rĂ©daction de son article sur le fichier security.txt, ce qui m’a permis d’en dĂ©couvrir l’existence et de l’implĂ©menter ce matin sur mon site.

C’est simple, c’est efficace. Un simple fichier texte, signĂ© ou non avec PGP (Google, manifestement, n’a pas signĂ© le sien), et qui rappelle les diffĂ©rents liens et contacts utiles en cas de faille sĂ©curitĂ© Ă  remonter aux dĂ©tenteurs du site. Tout est expliquĂ© ici, et cĂŽtĂ© RFC, le draft (encore!) se trouve lĂ .

De nombreux sites « sĂ©rieux » l’ont implĂ©mentĂ©, mais ce n’est pas le cas de tous, car encore faut-il que les webmasters desdits sites en aient pris connaissance. Testez vous-mĂȘme en ajoutant le suffixe .well-known/security.txt aux sites sur lesquels vous avez l’habitude l’aller, vous verrez bien.

Ce fichier est dĂ©posĂ© dans le sous-rĂ©pertoire racine .well-known, normalisĂ© d’aprĂšs la RFC 8615 (StĂ©phane Bortzmeyer fait toujours d’aussi bons rĂ©sumĂ©s des RFC, au passage), et s’appelle simplement security.txt. Vous pouvez consulter le mien si cela vous chante.

Si vous voulez faire de mĂȘme pour votre site, rien de plus simple :

1. créez votre fichier texte security.txt et placez-y les liens et adresses de courriel associées.

2. signez-le (pour rappel, avec gpg --clearsign security.txt)

3. si cela n’est pas dĂ©jĂ  fait, crĂ©ez Ă  la racine de votre site un rĂ©pertoire .well-known.

4. publiez le fichier signé sur votre site, dans le sous-répertoire susmentionné.

VoilĂ , vous ĂȘtes Ă  la page!

Ce contenu a été publié dans IT Security. Vous pouvez le mettre en favoris avec ce permalien.

1 réponse à Le fichier security.txt

  1. Ping : Bruno Kerouanton » Les schĂ©mas URI

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *