安全研究人员 Ed Foudil 近期向互联网工程任务组(IETF)递交了一项 Security.txt 草案,旨在寻找标准化网站的安全政策,这一文件类似定义 Web 和搜索引擎爬虫政策的 robots.txt 文件。举例来说,如果一名安全研究人员发现了一个网站的漏洞,他可以访问该网站的 security.txt 文件,获取如何联络公司和递交安全漏洞报告。security.txt 文件包含了如下信息:
#This is a comment
Contact: [email protected]
Contact: +1-201-555-0123
Contact: https://example.com/security
Encryption: https://example.com/pgp-key.txt
Acknowledgement: https://example.com/acknowledgements.html
Disclosure: Full
不过,就像一些爬虫会无视 robots.txt 去抓取网站内容,security.txt 看起来也容易被滥用,比如被垃圾信息发送者利用。
稿源:solidot奇客,封面源自网络;
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册