Đăng ký `security.txt` để tham khảo khi báo cáo lỗ hổng bảo mật
(mailarchive.ietf.org)Có vẻ như đang được IETF xem xét (?)
Điều này làm tôi nhớ tới bình luận của một chuyên gia bảo mật cách đây không lâu rằng, dù tìm thấy lỗ hổng bảo mật thì cũng thường không biết phải liên hệ với đâu, nên đã có khá nhiều trường hợp cứ để nguyên như vậy.
Việc này là để quy định vị trí và nội dung của tệp đó, còn sau này nó sẽ hữu ích đến mức nào thì có lẽ vẫn cần chờ xem thêm.
1 bình luận
Đây là phiên bản Security của
robots.txt.Địa chỉ bảo mật của chúng tôi
Contact: security@example.com
Encryption: https://example.com/pgp-key.txt
Chỉ cần đặt ở thư mục gốc theo kiểu như thế này...
Ở nước ta, người ta yêu cầu ghi người phụ trách bảo mật thông tin ở phần chân trang website hoặc trong điều khoản sử dụng, nhưng cách này có vẻ mang tính hệ thống hơn.
Có lẽ nếu được thông qua cuối cùng thì cũng sẽ được áp dụng trong nước.