Security.txt
format de fichier pour fournir des informations de contact en cas de faille de sécurité
From Wikipedia, the free encyclopedia
security.txt est une norme proposée pour les informations de sécurité des sites Web qui est destinée à permettre aux chercheurs en sécurité de signaler facilement les failles de sécurité[1],[2]. La norme prescrit un fichier texte appelé security.txt qui est similaire à robots.txt mais destiné à être lu par les humains souhaitant contacter le propriétaire d'un site Web au sujet des problèmes de sécurité[3].
Historique
Le projet a été soumis pour la première fois par Edwin Foudil en [1]. À l'époque, il couvrait quatre directives, Contact, Cryptage, Divulgation et Accusé de réception. Foudil devait ajouter d'autres directives sur la base des commentaires[2]. À cette époque, l'expert en sécurité Web Scott Helme a déclaré avoir reçu des commentaires positifs de la communauté de la sécurité alors que l'utilisation parmi les 1 million de sites Web les plus importants était aussi faible que prévu en ce moment.
La RFC 9116[4] a été publiée en avril 2022 qui contient notamment la description du format du fichier en grammaire ABNF.
Exemple
Voici un exemple de fichier security.txt[5] :
Contact: mailto:devs@example.com
