Xavfsizlik tadqiqotchisi sizning saytingizda jiddiy zaiflikni topganini tasavvur qiling. U sizga aytmoqchi, lekin kontakt sahifasidagi umumiy elektron pochta marketing bo'limiga ketadi, telefon raqami esa qabul xonasiga. Vaqt o'tadi, zaiflik ochiq qoladi va oxir-oqibat boshqa birov uni ekspluatatsiya qiladi. Aynan shu muammoni hal qilish uchun RFC 9116 standarti — security.txt fayli yaratilgan. Bu oddiy matn fayli xavfsizlik tadqiqotchilariga zaifliklarni qaerga xabar qilishni aniq ko'rsatib beradi va responsible disclosure jarayonini sezilarli darajada osonlashtiradi.
security.txt qaerda joylashadi
RFC 9116 standartiga ko'ra security.txt fayli /.well-known/ katalogida joylashishi kerak, ya'ni to'liq URL example.com/.well-known/security.txt bo'ladi. Bu joy tasodifan tanlanmagan — .well-known katalogi turli internet standartlari uchun maxsus joylashuv sifatida belgilangan va u erda webfinger, ACME challenge, openid configuration kabi turli xizmatlar ham joylashadi. Eski qo'llanmalar root katalogidagi joylashuvni ham qabul qilardi, lekin yangi loyihalar uchun faqat .well-known versiyasi tavsiya etiladi. Fayl albatta HTTPS orqali xizmat qilinishi kerak.
Asosiy maydonlar
security.txt faylida bir nechta maydonlar mavjud bo'lib, ulardan eng muhimi Contact bo'lib, bu xavfsizlik xabarlari yuborilishi mumkin bo'lgan elektron pochta yoki URL ni ko'rsatadi. Expires maydoni faylning amal qilish muddatini belgilaydi va u RFC 9116 ga ko'ra majburiy. Preferred-Languages tadqiqotchilarga qaysi tillarda muloqot qilish mumkinligini bildiradi. Canonical maydoni esa faylning rasmiy joylashuvini ko'rsatadi va bu spoofing hujumlaridan himoya qiladi. Acknowledgments maydoni esa zaifliklarni xabar bergan tadqiqotchilarni qayd etadigan sahifaga havola beradi.
Encryption va PGP kalitlari
Maxfiy zaifliklarni xabar qilish uchun shifrlangan aloqa juda muhim. Encryption maydoni xavfsizlik komandasining PGP kalitini topish mumkin bo'lgan joyni ko'rsatadi. Tadqiqotchi bu kalit yordamida zaiflik tafsilotlarini shifrlab jo'natishi mumkin va shunday qilib ma'lumotlar tashqi ko'zlardan himoyalanadi. PGP kalit serverlari yoki o'zingizning saytingiz kalit fayli sifatida ishlashi mumkin. Yuqori sezgirlikdagi tizimlar uchun bu maydon deyarli majburiydir, chunki zaiflik tafsilotlarini oddiy elektron pochta bilan jo'natish ortiqcha xavf yaratadi.
Policy va Hiring
Policy maydoni kompaniyaning responsible disclosure siyosatini tushuntiruvchi sahifaga havola beradi. Bu sahifada zaifliklarni xabar qilish jarayoni, kompaniyaning javob berish vaqtlari, qonuniy himoya va ko'pincha bug bounty mukofotlari haqida ma'lumotlar bo'ladi. Hiring maydoni esa qiziqarli tarzda xavfsizlik mutaxassislari uchun ishchi o'rinlarga havola beradi va bu zaiflik topgan iqtidorli tadqiqotchini ishga jalb qilish uchun ajoyib usul hisoblanadi. Ko'plab yirik texnologiya kompaniyalari aynan shu yo'l bilan a'lo darajadagi xavfsizlik komandalarini qurganlar.
Sayt.uz amaliyot
Sayt.uz security.txt faylini 2024 yilda joriy etgan va u sayt.uz/.well-known/security.txt manzilida mavjud. Faylda security@sayt.uz kontakt elektron pochta manzili, PGP kalit havolasi va o'zbek, rus, ingliz tillarida muloqot qilish imkoniyati ko'rsatilgan. 2024 yilda 14 ta tashqi tadqiqotchi bu kanal orqali zaifliklarni xabar qilgan va ularning hammasi o'rtacha 8 soat ichida tan olingan. Hosting tarifining 95 000 so'mdan boshlanuvchi narxiga security.txt shabloni va PGP kalit yaratish bo'yicha qo'llanma kiradi. Korporativ mijozlar uchun maxsus bug bounty platforma integratsiyasi 1 600 000 so'mdan taklif etiladi va u tashqi tadqiqotchilar bilan ishlashni avtomatlashtiradi.