security.txt (standaard voor veilig internet)

Reactie

Naam Anoniem
Plaats Utrecht
Datum 13 februari 2023

Vraag2

Wilt u reageren op de constateringen en conclusies van de experts met betrekking tot de criteria voor de lijst verplichte standaarden waarop zij security.txt hebben getoetst voor verplichting via de ‘pas toe of leg uit’-lijst (paragrafen 5.1-5.4 van het expertadvies)?
Ik zou

"De standaard security.txt definieert een tekstbestand dat op een bekende locatie moet
worden geplaatst" willen aanpassen naar:

"De standaard security.txt definieert een tekstbestand dat op een bekende locatie moet
worden geplaatst, of waarnaar vanaf die bekende locatie wordt doorverwezen."

Het lijkt mij van groot belang dat niet de indruk ontstaat dat individuele websites en diensten allemaal een bestand "security.txt" moeten plaatsen, omdat dit een hoog risico heeft op gedateerd raken van al die kopieen. In plaats daarvan zou het primaire advies m.i. moeten zijn om op een goed beheerde plek binnen de organisatie(onderdeel) een centrale security.txt te hosten en waarheen individuele applicaties en sites middels HTTP redirect (expliciet toegestaan in de standaard) doorverwijzen. Dit is hoe onze organisatie het heeft ingericht.

Omdat de naam van de standaard de bestandsnaam lijkt te zijn, zou ik dus explicieter willen maken dat het niet per se een bestand is maar ook goed een redirect kan zijn. Eventueel zou bovengenoemd implementatieadvies nog ergens opgenomen kunnen worden als daar plek voor is, maar op zijn minst aanhalen als optie lijkt me dus van belang.