security.txt (standaard voor veilig internet)

Reactie

Naam Anoniem
Plaats anoniem
Datum 8 maart 2023

Vraag1

Wilt u reageren op het advies van de experts om security.txt te verplichten aan de overheid (‘pas toe of leg uit’-verplichting) (paragraaf 1 van het expertadvies)?
Hmmm, citaat : "Op dit moment is er geen eenduidige wijze waarop kwetsbaarheden gemeld kunnen worden bij organisaties die systemen hebben die bereikbaar zijn via http of https en verbonden zijn aan het internet."
Dat is niet waar. Er is een standaard - welke onderdeel is van het DNS - welke verplicht om bij elk domain contactinformatie te verschaffen, om het mogelijk te maken contact op te nemen als er sprake is van misbruik.
Dit heb ik eerder zo gesteld op LinkedIn. Een reactie daarop was dat whois informatie meestal generiek is, en meestal gespammed wordt. Dat is wellicht zo (ik kan het niet direct beoordelen, ik ben geen beheerder van meerdere DNS domeinen die daaraan blootstaan) maar om dan een nieuwe manier te bedenken vind ik niet slim.
Het is generiek, ja dat is zo. Maar - en dat zie je bij veel administratieve processen - het is beter een loket te hebben dan meerdere. En vanuit dat loket kun je dan worden doorverwezen naar de juiste afdeling/groep/verantwoordelijke. Een loket (lees het emailadres en/of telefoonnummer en/of fysiek adres) is veel beter te onderhouden dan meerderen.
Bij meerderen (want dat is blijkbaar de bedoeling bij de voorgestelde oplossing) heb je ook de taak deze dan te onderhouden, wat je dan ook consequent moet doen, terwijl het aantal meldingen wat je kunt verwachten erg gering zal zijn. Het is natuurlijk wel zaak het emailadres dat in whois/dns gemeld staat ook continu uitgelezen wordt.
Dat het gespammed word, dan kan, maar eem goed spamfilter - en zo zijn er velen beschikbaar - is eenvoudig. Het lijkt mij dat de voorgestelde oplossing daar ook last van heeft. Elke spambot kan dit bestand uitlezen.
En ik kreeg een opmerking dat DNS niet gemaakt is om deze informatie in op te slaan. Dat is zo (want dat is de vertaling van naam naar ipnummer en vice versa), maar de whois informatie met de "abuse" info is er wel degelijk bewust ingestopt met dit doel.

Vraag2

Wilt u reageren op de constateringen en conclusies van de experts met betrekking tot de criteria voor de lijst verplichte standaarden waarop zij security.txt hebben getoetst voor verplichting via de ‘pas toe of leg uit’-lijst (paragrafen 5.1-5.4 van het expertadvies)?
Nee ik ben het niet eens met de stelling dat WHOIS geen mogelijk alternatief is. Als er geen betrouwbare in staat, pas die informatie dan aan. In WHOIS kun je diverse gegevens in kwijt. Ik lees in de rfc3912 dat het diverse tekortkomingen heeft, maar dat daar aan gewerkt wordt. Het lijkt mij daar eerst naar te kijken dan iets nieuws/heel anders te gaan gebruiken.

Vraag3

Wilt u reageren op de adviezen van de experts aan het Forum Standaardisatie en Overheidsbreed Beleidsoverleg Digitale Overheid (paragraaf 6 van het expertadvies)?
Geen commentaar.

Vraag4

Wilt u reageren op het doorlopen proces en de samenstelling van de expertgroep (paragraaf 3 van het expertadvies)?
Geen commentaar.

Vraag5

Wilt u aanvullende overwegingen meegeven aan het Forum Standaardisatie en Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) in verband met de inhoud van dit expertadvies of het gevolgde proces?
-