
Les annĂ©es passent, et les procĂ©dures de sĂ©curitĂ© Ă©galement. Depuis que je me suis remis Ă la SSI, je dĂ©couvre que certaines mĂ©thodes que j’utilisais sont devenues obsolĂštes, telles que le Certficate-Pinning, dĂ©prĂ©ciĂ© au profit de l’entĂȘte HTTP Expect-CT (Je n’ai trouvĂ© que des drafts de la spĂ©cification sur le site de l’IETF, dĂ©solĂ©).
Je tiens Ă remercier Y0no pour la rĂ©daction de son article sur le fichier security.txt, ce qui m’a permis d’en dĂ©couvrir l’existence et de l’implĂ©menter ce matin sur mon site.
C’est simple, c’est efficace. Un simple fichier texte, signĂ© ou non avec PGP (Google, manifestement, n’a pas signĂ© le sien), et qui rappelle les diffĂ©rents liens et contacts utiles en cas de faille sĂ©curitĂ© Ă remonter aux dĂ©tenteurs du site. Tout est expliquĂ© ici, et cĂŽtĂ© RFC, le draft (encore!) se trouve lĂ .
De nombreux sites « sĂ©rieux » l’ont implĂ©mentĂ©, mais ce n’est pas le cas de tous, car encore faut-il que les webmasters desdits sites en aient pris connaissance. Testez vous-mĂȘme en ajoutant le suffixe .well-known/security.txt aux sites sur lesquels vous avez l’habitude l’aller, vous verrez bien.
Ce fichier est dĂ©posĂ© dans le sous-rĂ©pertoire racine .well-known, normalisĂ© d’aprĂšs la RFC 8615 (StĂ©phane Bortzmeyer fait toujours d’aussi bons rĂ©sumĂ©s des RFC, au passage), et s’appelle simplement security.txt. Vous pouvez consulter le mien si cela vous chante.
Si vous voulez faire de mĂȘme pour votre site, rien de plus simple :
1. créez votre fichier texte security.txt et placez-y les liens et adresses de courriel associées.
2. signez-le (pour rappel, avec gpg --clearsign security.txt
)
3. si cela n’est pas dĂ©jĂ fait, crĂ©ez Ă la racine de votre site un rĂ©pertoire .well-known
.
4. publiez le fichier signé sur votre site, dans le sous-répertoire susmentionné.
VoilĂ , vous ĂȘtes Ă la page!
Ping : Bruno Kerouanton » Les schĂ©mas URI
Le RFC vient d’ĂȘtre publiĂ©, RFC 9116 https://www.rfc-editor.org/info/rfc9116