security.txt

security.txt est une norme proposée pour les informations de sécurité des sites Web qui est destinée à permettre aux chercheurs en sécurité de signaler facilement les failles de sécurité^[1],[2]. La norme prescrit un fichier texte appelé security.txt qui est similaire à robots.txt mais destiné à être lu par les humains souhaitant contacter le propriétaire d'un site Web au sujet des problèmes de sécurité^[3].

Security.txt

Présentation

Type	Format de fichier, protocole réseau
Site web	(en) securitytxt.org

modifier - modifier le code - modifier Wikidata

Historique

Le projet a été soumis pour la première fois par Edwin Foudil en septembre 2017^[1]. À l'époque, il couvrait quatre directives, Contact, Cryptage, Divulgation et Accusé de réception. Foudil devait ajouter d'autres directives sur la base des commentaires^[2]. À cette époque, l'expert en sécurité Web Scott Helme a déclaré avoir reçu des commentaires positifs de la communauté de la sécurité alors que l'utilisation parmi les 1 million de sites Web les plus importants était aussi faible que prévu en ce moment.

La RFC 9116 a été publiée en avril 2022 qui contient notamment la description du format du fichier en grammaire ABNF.

Voir également

• Ads.txt
• Humans.txt
• Robots.txt
• Hacking éthique

Références

1. (en) at 13:47, « Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell? », www.theregister.co.uk (consulté le 14 avril 2019)
2. (en-US) « Security.txt Standard Proposed, Similar to Robots.txt », BleepingComputer (consulté le 14 avril 2019)
3. (en-US) « The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities », Security Intelligence (consulté le 14 avril 2019)

Liens externes

• (en) Site officiel 
• (fr) Security.txt (robots-txt.com) : ressources en français sur le fichier security.txt
• Exemple pour un fichier security.txt

•   Portail de la sécurité informatique