Il 28/02/19 18:03, Stefano Di Paola ha scritto: > Ciao Marco :) > > Secondo me va un po' relativizzato il concetto di sicurezza. > > Se sei un .mil o equivalente allora ok ti seguo negli aspetti di > paranoia e di threat analysis su casi di post exploitation con pivoting > e via andare. > > In situazioni piu' semplici, cassare una info condivisa che molto > probabilmente sara' comunque messa in qualche pagina il cui indirizzo > e' scelto a caso nella foresta di link di un sito, mi sembra un po' > eccessivo :) > > Non sono sicuro sia stato proposto come un modo per dare informazioni > sicure, ma un modo per dare informazioni in un punto semplice da > condividere. > > IMHO se fanno un defacement, il problema e' molto piu' grande che avere > il security.txt modificato e quindi ingannare chi vuole usare l'email > (già pubblica) contenuta nel file. > > L'owner che si e' preoccupato di inserire le proprie info in un file ad > un path condiviso e poi non si preoccupa di controllare lo stato del > suo sito ha, anche in questo caso, un problema piu' grosso secondo me > :P > > Infine, tanto per completare il `ragionamento per assurdo`, inviare un > report di una vuln su un sito già violato ci possiamo aspettare che il > defacer avrà gia buona idea della issue :> .. piove sul bagnato > insomma. > > > La soluzione più semplice in assoluto fu proposta da Rain Forest Puppy > nel 2000 ed è l'utilizzo di un indirizzo di default per l'invio email > con topic sicurezza > > > https://web.archive.org/web/20000819053824/http://www.wiretrip.net/rfp/policy.html > > e a seguire altre versioni: > > > https://web.archive.org/web/20110411004929/http://www.wiretrip.net/rfp/policy.html > > > Lui ha proposto di esporre almeno uno di questi indirizzi: > > security-alert@[MAINTAINER] > secure@[MAINTAINER] > security@[MAINTAINER] > support@[MAINTAINER] > info@[MAINTAINER] > > E' uno standard de facto utilizzato praticamente da tutti i big e non > solo da molti anni ormai. > > Chiaramente ci sono tantissime situazioni in cui la awareness su > security e dintorni c'e' ma i mantainer non hanno email verso il > dominio, c'e' whois anonimo etc etc. > > E' vero, ci sono tante soluzioni piu' sicure che soddisfano i casi di > abuso piu' improbabili, ma non sempre il gioco vale la candela, no? > > Personalmente quando non mi hanno risposto su security@.. ho chiesto > anche io su twitter e mi e' (quasi) sempre andata bene. > In quei pochi casi negativi..well, their loss :). > > my 2 cents, > Ste > > On Thu, 2019-02-28 at 11:42 +0000, Marco Ermini wrote: >> Mah, pensandoci meglio, sono estremamente dubbioso. >> >> L'articolo non approrta, a mio modo di vedere, niente di convincente >> in >> favore dell'uso di security.txt. >> >> Offrire una facile fonte di raccolta email per spam come standard mi >> sembra >> sciocco, e chiamarlo addirittura "security.txt" addirittura ironico. >> >> Inoltre, in caso di web defacement, non si ha alcuna garanzia della >> bontà e >> validità di quel file. Si rischia di mandare il report a chi il sito >> l'ha >> violato... >> >> Per essere una informazione attendibile ed utile, questo file >> dovrebbe per >> lo meno: >> >> 1. essere crittograficamente firmato, con l'hash tenuto off-line in >> qualche >> altro posto >> 2. in alternativa, dato che l'informazione utile è praticamente >> grande >> quanto l'hash che la firma se non più piccola :-) tenerla >> direttamente >> off-line >> >> Vedrei molto meglio questa informazione in un record DNS, per >> esempio. >> >> Tralasciando gli aspetti tecnici, a livello pratico l'esperienza >> (almeno la >> mia) suggerisce che se qualcuno vuole riportare una vulnerabilità in >> modo >> responsabile, il modo per farlo lo trova, senza bisogno di questo >> file. Se >> è un ricercatore con esperienza semplicemente segue gli standard >> provveduti >> da ISO/IEC 29147 o dalle raccomandazioni ENISA; altrimenti, basta >> contattare un CERT, e di solito loro sanno dove andare. Oppure sei >> Travis >> e mandi un twit ;-) >> >> A parte le battute, non vedo vantaggi, non mi sembra tecnicamente >> solido, e >> possibilmente dannoso. >> >> >> Cordiali saluti >> >> On Thu, 28 Feb 2019 at 04:37, Stefano Di Paola < >> stefano.dipa...@wisec.it> >> wrote: >> >>> Non vedo grossi problemi, dato che è una proposta, non ancora >>> approvata >>> a livello RFC, che vuole semplicemente suggerire un percorso comune >>> per >>> dare informazioni inerenti aspetti di sicurezza. >>> >>> Un po' come robots.txt ma per argomenti di sicurezza. >>> >>> Utile alla stregua delle info Whois inerenti la parte security, ma >>> niente di più a parte il fatto che la controlli con maggiore >>> semplicità. >>> >>> Questo articolo linka in fondo vari security.txt: >>> > https://www.michalspacek.com/what-is-security.txt-and-why-you-should >>> - >>> have-one >>> < >>> https://www.michalspacek.com/what-is-security.txt-and-why-you-should-have-one >>>> >>> >>> Quindi IMO: >>> - molti pro per dare info su sec bug + varie ed eventuali. >>> - nessun contro se sono info pubbliche. >>> >>> Stefano >>> >>> On Tue, 2019-02-26 at 10:11 +0100, roberto diana wrote: >>>> Salve, >>>> >>>> volevo fare un sondaggio per capire se mettere o non mettere in >>>> un >>>> sito il >>>> file >>>> security.txt >>>> https://securitytxt.org/ >>>> >>>> pro e contro ? >>>> >>>> grazie >>>> :-) >>> >>> -- >>> ...oOOo...oOOo.... >>> Stefano Di Paola >>> Software & Security Engineer >>> >>> Owasp Italy R&D Director >>> CTO MindedSecurity >>> >>> Web: www.mindedsecurity.com www.wisec.it >>> blog: blog.mindedsecurity.com www.wisec.it >>> Twitter: http://twitter.com/WisecWisec >>> .................. >>> >>> ________________________________________________________ >>> http://www.sikurezza.org - Italian Security Mailing List >>> >>> >> >>
Tutto sommato condivido il parere di Marco. Aggiungo la mia esperienza. Mi è capitato più volte di cercare di contattare varie aziende per segnalare problemi tecnici di vario tipo, non necessariamente vulnerabilità o problemi strettamente connessi con la security. Ebbene anche grosse multinazionali (sia del trasporto aereo, che del settore bancario, tanto per citarne qualcuna) ) hanno vari punti d'ingresso, da mail sui loro siti, al contatto tecnico nel whois e via discorrendo. La realtà è che questi punti di contatto non sono presidiati. Spesso si ottiene un mailbox full, dovuto sicuramente allo spam. Recentemente ho trovato che un punto di contatto che funziona è il DPO previsto dal regolamento privacy. Ed è facile trovare l'aggancio con la privacy quando 'è un problema tecnico o di security. Saluti, -- Gelpi ing. Andrea -------------------------------------------------------------- It took the computing power of three C-64s to fly to the Moon. It takes a 486 to run Windows 95. Something is wrong here. -------------------------------------------------------------- ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List