Security.txt
Dateiformat, das die Angabe von Kontaktinformation zu sicherheitsrelevanten Informationen definiert
From Wikipedia, the free encyclopedia
security.txt ist eine Datei, die die Weitergabe sicherheitsrelevanter Informationen betreffend einer Website an dessen Betreiber vereinfachen soll. Das Schema dieser Datei ist im Request for Comments (RFC) 9116[1] definiert und sieht unter anderem die Angabe relevanter Kontaktinformationen vor.[2][3] Es handelt sich bei diesem RFC nicht um einen Internetstandard, der den Standardisierungsprozess der Internet Engineering Task Force durchlaufen hat. Vielmehr wird er der Kategorie „Informational“ zugeordnet.
Geschichte
Mit dem Schema, das im April 2022 von der Internet Engineering Task Force veröffentlicht wurde,[1] wird eine Datei namens „security.txt“ definiert, die (ähnlich der „robots.txt“) unter einer vorgeschriebenen Internetadresse hinterlegt wird und von Menschen wie Maschinen lesbar sein soll. Dadurch soll die Kontaktaufnahme mit dem Websitebetreiber im Fall ermittelter sicherheitsrelevanter Probleme vereinfacht werden.[4]
security.txt-Dateien wurden beispielsweise bereits von Google, GitHub, LinkedIn und Facebook implementiert.[5] Das Bundesamt für Cybersicherheit in der Schweiz empfiehlt den Unternehmen den Einsatz einer solchen Datei, da beim Entdecken von Schwachstellen häufig spezifischen Kontaktangaben kaum auffindbar oder nicht publiziert seien. Es gebe zwar oft nur eine zentrale Telefonnummer oder eine allgemeine E-Mail-Adresse. Als Konsequenz müsse sich die meldende Person bis zur richtigen Ansprechperson durchfragen und das Problem mehrfach erklären, wodurch Zeit verloren gehe.[6] Trotz der behördlichen Empfehlung wurden bei einer Auswertung von watson.ch im Jahr 2022 nur bei rund 40 der 1000 meist aufgesuchten Webadressen in der Schweiz eine solche Datei gefunden.[7]
Implementierung
security.txt-Dateien werden im Verzeichnis /.well-known/ (d. h. /.well-known/security.txt) oder im Stammverzeichnis (d. h. /security.txt) einer Website hinterlegt. Die Datei muss über HTTPS als reine Textdatei mit Internet Media Type text/plain vom Webserver zurückgegeben werden.
Die Angaben in der Datei stellen eine Schlüssel-Werte-Datenbank dar mit vorgegebenen und freiwilligen Angaben. Die Direktiven „Contact“ und „Expires“ sind verpflichtende minimale Angaben in einer security.txt-Datei (in der Tabelle mit ✓ gekennzeichnet). Zusätzlich können noch die Direktiven „Encryption“, „Acknowledgements“, „Preferred-Languages“, „Canonical“, „Policy“ und „Hiring“ hinzugefügt werden.
| Bedeutung | Beispielwerte | |
|---|---|---|
| ✓ | ContactKontaktmöglichkeit (zum Beispiel E-Mail, Telefon, Formular) |
mailto:security@example.comtel:+1-201-555-0123https://example.com/security-contact.html |
| ✓ | ExpiresGültigkeitsende der Angaben im ISO 8601-Format |
2025-12-30T23:00:00.000Z |
EncryptionAdresse oder Fingerabdruck zum Verschlüsselungsschlüssel |
https://example.com/pgp-key.txtopenpgp4fpr:5f2de5521c63a801ab59ccb603d49de44b29100f | |
AcknowledgmentsAdresse mit Würdigungen |
https://example.com/hall-of-fame.html | |
Preferred-LanguagesBevorzugte Sprachen |
de, en, es, fr | |
CanonicalKanonische URL zur Datei |
https://example.com/.well-known/security.txt | |
PolicyLink zu Sicherheitsrichtlinie |
https://example.com/disclosure-policy.html | |
HiringLink zu Stellenausschreibungen |
https://example.com/jobs.html | |
Siehe auch
Weblinks
- Website zum Request for Proposal. securitytxt.org
- https://de.wikipedia.org/.well-known/security.txt – Beispiel einer security.txt-Datei: deutschsprachige Wikipedia