security.txt (standaard voor veilig internet)
Reactie
Naam
|
eerlijkdigitaalonderwijs.nl (GJ Meewisse)
|
Plaats
|
Delft
|
Datum
|
17 februari 2023
|
Vraag1
Wilt u reageren op het advies van de experts om security.txt te verplichten aan de overheid (‘pas toe of leg uit’-verplichting) (paragraaf 1 van het expertadvies)?
"security.txt moet worden toegepast op alle systemen die via http of https
publiek benaderbaar zijn, zodat securitycontactinformatie duidelijk is"
Het enige wat op http behoort te staan is een redirect naat https. Het is in dat geval ook niet nodig om security.txt ook via http beschikbaar te maken, de redirect volstaat.
Vraag2
Wilt u reageren op de constateringen en conclusies van de experts met betrekking tot de criteria voor de lijst verplichte standaarden waarop zij security.txt hebben getoetst voor verplichting via de ‘pas toe of leg uit’-lijst (paragrafen 5.1-5.4 van het expertadvies)?
RFC9116 heeft een optioneel veld voor "Hiring". Dit wekt de indruk dat dit gericht is op grote organisaties en bedrijven met vacatures. Er zou een vergelijkbaar veld moeten bestaan voor niet commerciele organisaties met "Volunteering".
RFC9116 heeft een optioneel veld voor "Policy". Hierin wordt een link verwacht naar het vulnerability disclosure beleid verwacht. Het is echter veel efficienter en minder fout gevoelig om het vulnerability disclosure beleid direct in security.txt op te nemen. Ook lift het dan vanzelf mee op de extra beveiliging van de ondertekening van het security.txt bestand. Dit geld niet voor andere bestanden op het systeem dat via https is te bereiken. Dit is extra relevant in situaties waar de beveiliging van het https systeem niet op orde is en er iets gemeld moet kunnen worden.
5.3.2.4 "Meer dan 75.000 websites (1,4% van domeinnamen met een actieve website) kunnen fungeren als voorbeeldimplementatie van de standaard security.txt, " Het is voor een voorbeeld beter om één goed en geverifieerd en gecontroleerd voorbeeld te hebben dan 75000 voorbeelden waar mogelijk fouten tussen zitten.
Vraag5
Wilt u aanvullende overwegingen meegeven aan het Forum Standaardisatie en Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) in verband met de inhoud van dit expertadvies of het gevolgde proces?
Heel goed idee om security.txt een verplichte standaard te maken :)