Digital Trust Center begint campagne voor implementatie van security.txt

De Nederlandse overheid begint een bewustwordingscampagne voor bedrijven om een security.txt-file aan te bieden. Dat moet responsibledisclosurebeleid stimuleren. Onder andere het Digital Trust Center doet met de campagne mee.

Het Digital Trust Center van de Nederlandse overheid raadt bedrijven in een campagne aan om security.txt te implementeren. Daarvoor heeft het DTC, dat opkomt voor de beveiliging van het Nederlandse midden- en kleinbedrijf, een aparte webpagina opgezet. Daarop staat uitleg over hoe bedrijven hun eigen security.txt-file kunnen implementeren en wat de voor- en nadelen ervan zijn. Ook is er een toolkit gemaakt met nieuws en hulp. De campagne begint kort nadat het DTC een initiatief van Internet.nl steunde om security.txt te implementeren.

Het DTC noemt security.txt 'een eenvoudige beveiligingsmaatregel die een aanzienlijke verbetering kan opleveren voor de uitwisseling van dreigingsinformatie'. Dat is goed voor de weerbaarheid van het Nederlandse bedrijfsleven. Het DTC noemt ook tientallen bedrijven en overheidsinstellingen die als ambassadeurs pleiten voor de implementatie.

Security.txt is een beveiligingsstandaard die in de afgelopen maanden aan bekendheid wint. Bedrijven kunnen een parsable tekstbestand in hun /.well-known-directory zetten waarin relevante informatie voor beveiligingsonderzoekers staat. Die kunnen dan snel vinden waar ze terecht kunnen met meldingen van beveiligingslekken. Tweakers sprak eerder dit jaar met de bedenker van de standaard.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 18-10-2022 09:39
19 • submitter: T-Junkie

18-10-2022 • 09:39

19

Submitter: T-Junkie

Lees meer

SIDN gaat korting geven op domeinnamen met geldig security.txt-bestand
SIDN gaat korting geven op domeinnamen met geldig security.txt-bestand Nieuws van 14 maart 2024
Nederlandse overheid start voorlichtingscampagne rondom cybercrime-indicatoren
Nederlandse overheid start voorlichtingscampagne rondom cybercrime-indicatoren Nieuws van 10 oktober 2023
DTC waarschuwde Nederlandse bedrijven 35.000 keer voor cyberdreigingen
DTC waarschuwde Nederlandse bedrijven 35.000 keer voor cyberdreigingen Nieuws van 10 juli 2023
Nederlandse overheden moeten verplicht security.txt gaan gebruiken
Nederlandse overheden moeten verplicht security.txt gaan gebruiken Nieuws van 30 mei 2023
DTC: kleine bedrijven en zzp'ers beschermen zich digitaal onvoldoende
DTC: kleine bedrijven en zzp'ers beschermen zich digitaal onvoldoende Nieuws van 22 mei 2023
Forum Standaardisatie start consultatie voor security.txt-plicht bij overheid
Forum Standaardisatie start consultatie voor security.txt-plicht bij overheid Nieuws van 14 februari 2023
Digital Trust Center waarschuwde 5200 keer bedrijven voor kwetsbaarheden
Digital Trust Center waarschuwde 5200 keer bedrijven voor kwetsbaarheden Nieuws van 14 december 2022
Internet.nl voegt validatie voor security.txt toe aan domeintest
Internet.nl voegt validatie voor security.txt toe aan domeintest Nieuws van 11 oktober 2022
DTC waarschuwde in jaar tijd 1700 Nederlandse bedrijven voor cyberdreiging
DTC waarschuwde in jaar tijd 1700 Nederlandse bedrijven voor cyberdreiging Nieuws van 27 juni 2022
Security.txt wil orde brengen in de chaos van responsible disclosure
Security.txt wil orde brengen in de chaos van responsible disclosure Nieuws van 11 mei 2022
Ontwikkelaars stellen security.txt-standaard voor melden beveiligingsfouten voor
Ontwikkelaars stellen security.txt-standaard voor melden beveiligingsfouten voor Nieuws van 28 april 2022
Meer producten en artikelen
Beveiliging en antivirus Digital Trust Center Nederland

Reacties (19)

-Moderatie-faq
19
19
14
1
0
2
Wijzig sortering

Sorteer op:

Weergave:
RxTweak 18 oktober 2022 10:00
Voor wie het zicht afvraagt, tweakers.net heeft een security.txt: https://tweakers.net/.well-known/security.txt :) Is te vinden via de zoekfunctie op https://internet.nl

[Reactie gewijzigd door RxTweak op 23 juli 2024 07:34]

Bor Coördinator Frontpage Admins / FP Powermod
@RxTweak18 oktober 2022 10:06
Daar heb je internet.nl niet voor nodig. De security.txt bevindt zich in de ".well-known" directory. Je kan het makkelijk zelf checken door: https://url/.well-known/security.txt (vervang url door de te controleren site)
wica @Bor18 oktober 2022 10:25
Waarom zit er eigenlijk geen directory listing op https://url/.well-known/ ?
bzzzt @wica18 oktober 2022 11:11
Omdat de URI's die daar onder vallen vooraf bekend zijn en het niet de bedoeling is daar random bestanden te hosten.
Zie https://www.iana.org/assi...ris/well-known-uris.xhtml voor de toegewezen namen.
wica @bzzzt18 oktober 2022 11:39
Dank je, ik kende deze lijst niet. +2
Dan is directory listing idd niet nodig.
Verwijderd @wica18 oktober 2022 11:32
Omdat directory listing altijd uit zou moeten staan.
Anders doen is beveiligingsproblemen introduceren, security by default is de standaard om mee te werken.
wica @Verwijderd18 oktober 2022 11:39
Als je er bewust voor kiest is, is het geen beveiligingsproblemen.
Verwijderd @wica18 oktober 2022 12:29
Nee, het beveiligingsprobleem komt pas als iemand er iets plaatst dat er niet hoort. Zoals de meeste beveiligingsproblemen geïntroduceerd worden. Directory listing is nergens voor nodig, het voegt helemaal niets toe en maakt het alleen maar makkelijker voor een aanvaller om inzicht te krijgen in potentiële fouten.
Toettoetdaan @wica18 oktober 2022 10:58
.well-known is voornamelijk een map die gebruikt wordt voor het testen en vernieuwen van SSL certificaten. Daar is geen directroy listing voor nodig.

Meestal is die map ook gewoon leeg alleen tijdens het testen staat er een paar seconden een bestandje in.
Stefandepefan @RxTweak18 oktober 2022 12:32
Dat is interessant, want ik zou verwachten dat de file achter de url zou staan. Dus tweakers.net/security.txt ipv deze link. Een site als Bol heeft dat dan weer wel.
DutchKevv @Stefandepefan18 oktober 2022 12:42
Het nadeel is dat je dan een hele wildgroei aan files krijgt in de root map, gezien bijvoorbeeld de index.html enzo er ook al (vaak) staat. Plus de ouderwetse robots.txt etc etc

Het is mooier / schoner om het doelgericht in mappen te zetten

[Reactie gewijzigd door DutchKevv op 23 juli 2024 07:34]

RxTweak @DutchKevv18 oktober 2022 21:46
Wat ik dan ook niet helemaal begrijp is de punt voor de folder in het URL pad. In MacOS betekend een punt vaak een verborgen of hidden folder die je alleen krijgt te zien via de CLI of in de verkenner na het gebruik van CMD+. op het toetsenbord. Ik begrijp ook dat dit de kans op URL conflicten weer kleiner maakt maar toch.. het ziet er maar gek uit zo /url/.well-known/...
vanviegen @RxTweak19 oktober 2022 09:25
Het is dan ook niet een URL die een eindgebruiker ooit zou moeten zien. Dat wordt onderstreept door de 'hidden' directory, zodanig gemarkeerd met de dot-prefix.
batjes @DutchKevv19 oktober 2022 15:50
Daar heb je URL rewrite voor.
Williams123 @RxTweak18 oktober 2022 14:56
het grappige is als ik direct naar dit bestand ga op mijn URL (https://url/.well-known/security.txt )die staat er al een best tijdje werkt het netjes.
maar via internet.nl zegt die dat ik geen 1 heb of op de verkeerde locatie staat. vorig jaar had ik nog een score van 99% nu nog 88% Dus moet ook weer aan de slag.
Vogel666 18 oktober 2022 14:15
Wat ik me afvraag is hoe deze oplossing beter gaat werken dan de whois info.

Je merkt dat vrijwel iedereen zijn info daar geanonimiseerd heeft of email ergens in een spambox laat dumpen omdat zo'n mooi publiek adres dat rechtstreeks bij de securityofficer uit komt een enorme aantrekkingskracht heeft op Indiase 'IT bedrijven' die maar al te graag hun 'diensten' willen aanbieden.
Dat systeem is dus uitgehold door abuse.

Nu komt er een nieuw systeem (per subdomein specificeerbaar, ok daar is meerwaarde) waarbij je opnieuw publiek een contactadres kunt publiceren dat dan opnieuw gaat leiden tot spam/abuse, waardoor men opnieuw gaat verwijzen naar adressen die niet gelezen worden.
switchboy @Vogel66618 oktober 2022 14:56
Je kan in plaats van een email adres ook verwijzen naar een contact formulier met captcha. Dan filter je al een hoop robots weg.
SchizoDuckie @Vogel66618 oktober 2022 15:08
Die spam en abuse moet je maar voor lief nemen. Weet je wat een drama het is om de juiste persoon te vinden om een disclosure naar te doen? Daar gaat vaak de helft van de tijd van het traject van een lek vinden tot het lek gedicht krijgen in zitten.
Maar waarom gooi je je disclosure dan niet gewoon naar een info@ of contactformuliertje of naar de whois mailbox?
Daar wordt het niet gelezen door het bovenstaande, en vaak zit er ook nog een receptie dame achter de mailbox die totaal geen idee heeft waar het over gaat.


Ik ben het ergens ook wel met met je eens hoor, het gaat weer een mailbox zijn om in de gaten te houden, maar DAT organisaties uberhaupt een dedicated maibox krijgen om specifiek security informatie op te ontvangen is echt keihard nodig, dwingt mensen om na te denken wie gaat dat dan krijgen, etcetera.
RangedNeedles 18 oktober 2022 13:19
Op zich lijkt het me wel interessant om "hieraan mee te doen", maar wat voor de beheerders van een kleinere website? Zoiets als je persoonlijke website? Dan plemp je in zo'n security.txt gewoon je mailadres neer zodat je vervolgens elke dag tien mails krijgt van Nigeriaanse prinsen en lotterijen die je hebt gewonnen?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq