Le fichier security.txt, c’est quoi ?

Rapide présentation pour votre culture générale~

Aujourd’hui nous allons donc parler du fichier security.txt, que vous avez peut être déjà aperçu sur certains sites web. Pourquoi existe-t-il ? Est-ce obligatoire ? On va voir ça !

Raison d’être

Imaginons que vous vous baladez sur un site web, et que par pur hasard vous constatiez une faille de sécurité sur ce dernier. Comme vous êtes un gentil hacker, vous voulez contacter l’owner pour lui remonter votre trouvaille. Le bémol, c’est :

• Qui contacter ? Via quel canal ?
• Comment le faire de manière sécurisée ?
• Dans quel langue le rédiger ?
• Y a-t-il une marche à suivre spécifique ?

Bon, pour le choix de la langue c’est un peu du bullshit, 9 fois sur 10 ce sera en anglais, mais sait-on jamais 🙃

Aaaaah, cette perfide Albion…

Ok mais c’est tout ?

Et bien oui, le but est donc de pouvoir faciliter la remontée de failles de sécurité. Plus rapide, plus précis, et plus sécurisé, aussi simple que ça 🙌

Aperçu du security.txt sur Facebook.com.

Mise en place pour son propre site

Si l’envie vous prend, sachez qu’il existe ce site qui déjà vous détaillera plus en profondeur les différents paramètres de cette RFC (car oui, c’en est bel et bien devenue une : RFC 9116), et qui vous permettra de manière interactive de compléter ce fameux fichier.

Une fois fait, ‘reste plus qu’à le placer à la racine de votre virtual host et le tour est joué 😎

Conclusion~

Comme je l’avais dit en début décembre, je posterai certes plus souvent mais il s’agira peut être de “simples petits articles” comme ici, du genre rapide découverte. Puis bon, il faut le temps de se remettre dans le bain 🌊

Sur ce, portez vous bien et ah oui, bonne année toussa toussa !

Ciao !