Heb jij al een security.txt op je website?

Security.txt is de nieuwe standaard om white hackers kwetsbaarheden in je website te laten melden.

Heb jij al een security.txt op je website?
Photo by Azamat E / Unsplash

Als webdesigner of -ontwikkelaar ontwerp je wellicht prachtig functionele websites. Maar zijn die altijd veilig? We twijfelen er niet aan dat je je best doet om alle websites wat je ontwikkelt zo veilig mogelijk te maken. Maar dan nog. Hoe goed we ook onze best doen, alle code wat door mensen geschreven is bevat potentiƫle kwetsbaarheden.

Hackers maken daar uiteraard gretig gebruik van om zo proberen in je website binnen te dringen. Op zoek naar interessante (klanten) gegevens of om je website volledig over te nemen. Gelukkig zijn er ook 'white hackers'.

Een white hat hacker (soms ook wel ethische hacker genoemd) is een computerbeveiligingsspecialist. White hat hackers gebruiken vaak dezelfde technieken om in te breken op computers en netwerken als grey hat hackers en black hat hackers. Het grote verschil tussen deze hackers zit in de intenties en toestemming. Een white hat hacker heeft toestemming van de eigenaar van de website, de webwinkel of het computersysteem om een datalek op te sporen. (bron: veiliginternetten.nl)

Schrijf een responsible disclosure policy

Sinds enkele jaren is het gebruikelijk om een 'responsible disclosure policy' op je website te vermelden. In deze policy noteer je onder andere welke stappen je wilt dat een white hacker volgt om je een beveiligingsprobleem te melden, wat hij wel/niet mag doen en beloof je om geen juridische stappen tegen hem te ondernemen.

Veel responsible disclosure policies zijn kopieƫn of afgeleiden van de tekst wat vrij beschikbaar is op responsibledisclosure.nl. Ook wij hebben uiteraard eentje.

Waar is de responsible disclosure policy vindbaar?

Sommige websites nemen hun policy op in de algemene voorwaarden, anderen in het privacybeleid. Nog anderen linken het vanuit hun disclaimer. Allemaal goedbedoeld. Maar je ziet, er is geen eenduidige manier waarop een white hacker jouw policy kan vinden.

Enkele beveiligingsonderzoekers hebben daarom het concept 'security.txt' bedacht en dit aangebracht als een voorstel om opgenomen te worden in de IETF internetstandaard.

Wat is security.txt?

Het concept is eigenlijk simpel. Er wordt een bestand 'security.txt' aangemaakt wat op een specifieke locatie op je webserver staat. Aangezien deze locatie een standaard is (of althans zou worden), weten white hackers deze altijd eenvoudig te vinden. De tekst wat in zo een bestand opgenomen is, is ook volgens bepaalde afspraken.

Hoe implementeer ik security.txt op mijn eigen website?

Dat is vrij eenvoudig. Je hebt wel toegang nodig tot je eigen webserver via bijvoorbeeld een online bestandsbrowser of via FTP. Dit kan je meestal niet via je CMS zoals WordPress.

Stap 1: genereer de inhoud voor jouw security.txt bestand

Dit kan je doen op securitytxt.org.

Stap 2: bewaar dit bestand op jouw webserver

Bewaar dit bestand met de naam security.txt in de map /.well-known. Je folderstructuur ziet er dan zo uit:

security.txt in de /.well-known folder

Jouw security.txt bestand is dan publiekelijk bereikbaar op jouwdomein.be/.well-known/security.txt.

Hier zie je bijvoorbeeld ons bestand: https://www.nexxwave.be/.well-known/security.txt. Ook kleppers zoals Google, Facebook, Amazon en BBC hebben hun security.txt al op orde.