Webperf
Du som jobbat en längre tid med webbutveckling känner garanterat till robots.txt och vad den filen används till på en webbplats. Så varför behöver du också en security.txt på din webbplats? Låt oss förklara lite mer exakt med denna bloggpost.
Precis som robots.txt berättar för robotar/sökmotorer om de önskade förhållningsreglerna så berättar din security.txt om hur det ligger till kring informationssäkerhet på webbplatsen.
För närvarande ser Webperfs security.txt ut på följande sätt:
# Our security address
Contact: mailto:security@webperf.se
# Preferred language is Swedish, but English is also okay
Preferred-Languages: sv
# Yes, this is the security.txt of webperf.se
Canonical: https://webperf.se/security.txt
Expires: Fri, 31 Dec 2024 12:00:00 +0100
Med det försöker vi följa praxis inom informationssäkerhet enligt securitytxt.org och ange hur man hör av sig om man hittat säkerhetshål på webbplatsen, eller andra frågor som rör säkerhet. Just Webperf har ingen bra anledning att ange ytterligare saker inom informationssäkerhet, som öppen PGP-nyckel eller en säkerhetspolicy, men alla webbplatser kan förstås vara öppna med hur man hör av sig ifall man hittar en brist som berör säkerhet - det är vad security.txt handlar om primärt!
Den största nyttan är att berätta om hur man hör av sig ifall någon råkar snubbla över ett problem kring informationssäkerhet. Tro det eller ej, det är verkligen något man kan snubbla över trots att man inte är någon säkerhetsforskare. Och det är viktigt att lyckas samla in dessa felrapporter så man så snabbt som möjligt blir medveten om de brister som finns, annars riskerar man att någon illvillig utnyttjar situationen.
För den som upptäcker en brist inom informationssäkerhet är en security.txt en del av tillvägagångssättet för att på ett ansvarsfullt sätt berätta för den det berör - rätt person som det gäller - att de har ett problem. Vad som på engelska kallas för responsible disclosure.
Så fungerar betygen
Här på Webperf har vi tillämpat security.txt på vårt betyg för standardfiler. Detta test har vi haft sedan ett år tillbaka så det var dags att det fick en uppdatering! Från och med januari 2021, när vi ändå skiftar över till Webperf Core för de publika testerna, introduceras security.txt och för de som inte har en sådan fil på sin webbplats innebär det ett poängavdrag på testet för standardfiler. För de flesta webbplatser betyder ett poängs avdrag på ett av testerna att de tappar ett poäng i ett deltest bland 13-15 andra deltester.
Webbplatsens security.txt ska också ha rätt innehåll. Ifall filen saknar utgångsdatum får webbplatsen 0,25 poäng istället för 1. Saknas kontaktinformation blir det som mest en halv poäng.
Även fast det inte är hela världen att låta bli att ha en security.txt på en webbplats vill vi på Webperf ändå uppmuntra till att fler använder denna sorts information. För vem vill missa chansen att få ett meddelande från någon som hittat ett läskigt säkerhetshål på en webbplats du ansvarar för?
Mer om security.txt
- securitytxt.org
- IETF: A File Format to Aid in Security Vulnerability Disclosure
- Security.txt ingår i Webperfs test av standardfiler - där hittar du även koll på robots.txt, sitemaps och RSS-prenumeration
