原标题:安全研究人员鼓吹Security.txt网络标准,盼网站充份揭露安全政策
图片来源:GitHub
安全研究人员Ed△Foudil最近提交了新的Security.txt草案予网际网络工程任务小组(Internet△Engineering△Task△Force,IETF),这是一个供网站描述安全政策及联系管道的草案,期望让它标准化以让安全研究人员与网站之间的沟通更为流畅。
Foudil指出,当独立安全研究人员发现网络服务的漏洞时,他们经常缺乏适当的揭露管道,于是,这些漏洞可能就没有修补,进而危害网络安全。
因此,由Foudil所设计的Security.txt标准将允许网站定义安全政策,通过清楚的准则协助安全研究人员回报网站漏洞,此一文字档描述了网站所允许的漏洞回报范围、漏洞种类、联系管道、安全页面、抓漏专案、付款方式、奖金规模、奖金捐赠途径及揭露政策等,也可表明并不希望研究人员测试他们的平台。
Security.txt与robot.txt的用法类似,它们都是被存放于网站根目录的文字档案,只是robot.txt定义的是网站的爬梳政策,对象为搜寻引擎,而Security.txt定义的则是网站的安全政策,对象为安全研究人员。
相关:
我酷新闻网记者王少筠/台北报道为使行政、立法二权融洽,上周才走马到任的行政院长赖清德,今(11)日上午即赴立法院拜会正副院长及朝野各党团。赖清德表示,将以过去担任立委时监督行政院的标准,要求行政团队;并
我酷新闻网记者王少筠/台北报道为使行政、立法二权融洽,上周才走马到任的行政院长赖清德,今(11)日上午即赴立法院拜会正副院长及朝野各党团。赖清德表示,将以过去担任立委时监督行政院的标准,要求行政团队,并
研究人员发现一个广大的名誉操弄(reputation△manipulation)网络,可以让上百万脸书帐号发出上亿个点赞数,使app不实提升曝光度或流量。?巴基斯坦拉沃尔管理大学、美国爱荷华大学研究人员指出,他们发现的“共谋网
我酷新闻网记者黄有容/综合报道身为全球最有规模的社交网站,Facebook响应9月10日的“世界自杀预防日”,在网站中提供对有自杀念头的使用者数种帮助方式,也提供协助方法给发现朋友有欲自杀迹象的使用者。Facebook已
研究人员找到浏览器漏洞,但微软拒绝修补Microsoft Edge
Microsoft△Edge浏览器。示意图,与新闻事件无关。 思科(Cisco)旗下的Talos网络威胁情报部门在本周揭露多个可能外泄使用者机密资讯的浏览器漏洞,并指出在受到波及的Microsoft△Edge、Google△Chrome与苹果Safar