Organizace Internet Engineering Task Force (IETF) publikovala v dubnu 2022 dokument, který přináší zjednodušení pro lidi, které narazí na internetu na nějaké zranitelnosti a chtěli by je majiteli služby nahlásit.
IETF v tomto dokumentu, který není standardem ale jen informativním doporučením, vytváří specifikaci souboru SECURITY.TXT. Tento soubor uložíte do přesně specifikovaného umístění na vaší službě (webové služby, FTP atd.) Obsahem souboru jsou kontaktní údaje pro nahlášení zranitelnosti. V případě, že někdo najde na vaší službě zranitelnost, snadno pomocí tohoto souboru zjistí, jak zranitelnost nahlásit.
Co bychom mohli tomuto řešení vytknout? Hlavním úskalím je, že pokud zranitelnost objeví útočník s nekalými úmysly, pak pravděpodobně snadno pozmění kontaktní údaje v souboru SECURITY.TXT. Proto je nutné soubor pravidelně kontrolovat, zda v něm nebyly provedeny nevhodné úpravy.
Pro webové služby by požadavek na soubor s kontaktními údaji mohl být nadbytečný, protože již dokument RFC 2142 doporučuje vytvoření emailové adresy SECURITY@doména, která má být použita pro komunikaci ohledně síťové bezpečnosti.
Pro poskytovatele internetových služeb je pak dokumentem RFC 3013 doporučeno vytvoření mailové schránky SECURITY nebo případně poskytnutí kontaktních údajů na webu (http://www.ISP-name-here.net/security/).
Zde najdete kompletní specifikaci RFC 9116.
Internet Engineering Task Force je nezávislá nezisková organizace, která se zabývá rozvojem internetu. V rámci své činnosti IETF vytváří doporučení a standardy pro fungování internetu.