Sinceramente non capisco i "contro" che sono stati elencati: - la scansione riportata sotto proviene dall'IP 94.102.49.193 che appartiene al servizio shodan.io. Uno può anche considerare tale servizio come "malevolo" ma per per è meritorio ed estremamente utile, niente di malevolo (personalmente ho anche un account a pagamento, ad esempio). Effettivamente shodan fornisce anche informazioni prelevate dalla pagina security.txt, se la trova, e quindi è normale che raccolga tali informazioni - il fatto che tale pagina possa essere "artefatta" con falsi contatti in caso di attacco, come detto da qualcuno all'inizio della discussione, è un non problema: in caso di attacco può essere artefatta anche se prima non esisteva :-)
Sinceramente, quindi, vedo solo il vantaggio di dare ad eventuali interessati i contatti corretti per tematiche di "security" (inteso in senso lato), nessuno svantaggio. m2c Un saluto, Gabriele Il giorno lun 18 mar 2019 alle ore 17:27 Damiano Bianchi < damiano.bian...@usi.ch> ha scritto: > Buongiorno a tutti, > ho seguìto l’interessante discussione sulle implicazioni di security.txt, > concordo con Marco Ermini che evidenzia i rischi di questa iniziativa, > volevo segnalare > un caso pratico: abbiamo cominciato a riscontrare sui nostri sistemi > richieste come queste, provenienti da IP malevoli: > > 94.102.49.193 - - [xx/Mar/2019:xx:xx:xx +0100] "GET > /.well-known/security.txt HTTP/1.1" 403 233 "-" “-“ > > questo indica che c’è interesse per queste informazioni, ad esempio > potrebbe essere facile per > un attaccante scoprire quali e quanti siti sono gestiti da un certo SOC, > semplicemente raccogliendo > i contatti presenti su diversi siti. > > Cordiali saluti. > > > > > > > On 26 Feb 2019, at 10:11, roberto diana <roberto.di...@gmail.com> wrote: > > > > Salve, > > > > volevo fare un sondaggio per capire se mettere o non mettere in un sito > il file > > security.txt > > https://securitytxt.org/ > > > > pro e contro ? > > > > grazie > > :-) > > — > > Damiano Bianchi > > > ––––––––––––––––––––––––––––––––––––– > Università della Svizzera italiana > Servizi informatici > > ––––––––––––––––––––––––––––––––––––– > Ufficio 127 > Via Buffi 13 > 6900 Lugano > Svizzera > +41 58 666 4345 > damiano.bian...@usi.ch > www.usi.ch > > ––––––––––––––––––––––––––––––––––––– > >
