Wohin mit dem Report? security.txt gibt Auskunft

Gelegentlich findet man keine sinnvolle Kontaktadresse für Security-Reports. So zum Beispiel erging es mir, als ich letztens der Bahn eine XSS-Lücke melden wollte.

/.well-known/security.txt

Bei der security.txt handelt es sich (noch) nicht um einen offiziellen Standard. Die Vorgehensweise und das Prinzip hinter dieser Datei wird unter https://securitytxt.org/ beschrieben. Bisher besitzen nur wenige Webseiten eine solche Datei. Ein Entwurf dazu befindet sich bereits bei der Internet Engineering Task Force.

Auch bei der Bahn wird man dazu fündig. Hier wurde ebenfalls eine solche Datei hinterlegt.

https://www.deutschebahn.com/.well-known/security.txt

Hätte ich das mal vorher gewusst 🙂

Veröffentlicht in Tipps

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.