security.txt bemutatása és működése

0

🔐 Mi az a security.txt fájl és miért fontos?

A security.txt egy nyilvános szabvány (RFC 9116), amelynek célja, hogy egységes csatornát biztosítson a biztonsági problémák bejelentéséhez a weboldal-üzemeltetők és a független etikus hackerek vagy biztonsági kutatók között.

A modern webes infrastruktúrák bonyolultak, és még a legnagyobb cégek is tartalmazhatnak biztonsági hibákat. Ha egy kutató felfedez egy ilyen sérülékenységet, sokszor nem talál elérhetőséget, ahol felelősségteljesen bejelenthetné a hibát. A security.txt ezt a kommunikációs szakadékot hivatott áthidalni.

🧭 Hol található a fájl?

A fájlt egy előre meghatározott URL-en kell elhelyezni:

https://példadomain.hu/.well-known/security.txt

Ez egy jól ismert (well-known) elérési út, amit automatikusan keresnek a biztonsági szkennerek, kutatók, böngészők és eszközök.

📝 Hogyan néz ki egy security.txt?

Például így:

Contact: mailto:security@példadomain.hu
Encryption: https://példadomain.hu/pgp-key.txt
Preferred-Languages: hu, en
Policy: https://példadomain.hu/security-policy.html
Acknowledgments: https://példadomain.hu/hallofame.html
Expires: 2025-12-31T23:59:00Z
 

Fontos mezők:

  • Contact: kötelező – ide írja a kutató az észlelt problémát

  • Encryption: ajánlott – PGP kulcs linkje, ha titkosított bejelentést kérsz

  • Policy: ajánlott – hivatkozás a hibabejelentési szabályzatra

  • Acknowledgments: opcionális – köszönetnyilvánítás biztonsági kutatóknak

  • Expires: kötelező – mikor jár le a fájl érvényessége

🔍 Hogyan működik a lekérés?

A legtöbb biztonsági kutató vagy automata rendszer a következőképp működik:

  1. Feltérképezi a domain főoldalát (pl. példadomain.hu).

  2. Megnézi, létezik-e a https://példadomain.hu/.well-known/security.txt URL.

  3. Letölti és értelmezi a mezőket.

  4. Amennyiben találnak hibát a rendszeredben, ezen adatok alapján keresnek meg téged – a te szabályaid szerint.

Ezáltal:

  • elkerülheted a hibák nyilvánosságra hozatalát a javítás előtt,

  • csökkentheted a kockázatokat,

  • erősítheted a biztonsági hitelességedet.

🌍 Ki használja már?

A security.txt ma már iparági szabvány, amelyet alkalmaznak többek között:

  • Google

  • Facebook / Meta

  • GitHub

  • UK Government

  • CISA (USA)

  • Francia, Olasz, Holland és Ausztrál kormányzati szervek

  • és sok ezer másik szervezet

Ezzel is mutatják, hogy a felelős hibabejelentés támogatása egyaránt technikai és reputációs előnyt jelent.

🧠 Miért éri meg neked is alkalmazni?

  • Elkerülheted a nem hivatalos (vagy nyilvános) kiszivárogtatásokat

  • Javíthatod a biztonsági megítélésedet ügyfeleid és partnereid előtt

  • Könnyebben beazonosíthatóvá válsz a biztonsági kutatók számára

  • Segít megfelelni bizonyos compliance vagy audit előírásoknak

  • A .well-known útvonal minimális erőforrás, nincs hatása a weboldaladra

⚠️ Fontos technikai feltételek

  • A fájl csak HTTPS-en keresztül érhető el – kötelező az érvényes SSL tanúsítvány

  • A domainnek léteznie kell, és a szerverre kell mutatnia, különben nem kérhető le

  • A fájlt nem szabad átirányítani máshová – közvetlen elérés kell