hackers.txtファイルの用途は何ですか?
最初
いいえ、私はあなたにハッキングを教えるように頼んでいません。私はこのファイルとその内容に興味があるだけです。
私の旅
新しいHTML5ボイラープレートに飛び込んだとき、humans.txtに遭遇しました。私はそれをググって、このサイトに来た http://humanstxt.org/ 。
すぐに私の注意はこの写真に行きました:
これを正しく読みますか? Hackers.txt?
だから私はグーグルで私の旅を再開し、 この記事 に立ち寄りました
私がこれを読み始めたとき、ハッカーとクラッカーの違いについてだと感じました。後で私は自分が間違っているのではないか、この場所はこのhackers.txtファイルがハッカーのための一種のゲストブックであると感じましたか?
また、見つけたhackers.txtファイルに関する他の例 here
一部のファイルにはコードが含まれ、その他のファイルには完全な情報が含まれています。
今、私は本当に混乱しています、ゲストブック、ハックチュートリアル、または単なる歴史ですか?
質問
このhackers.txtファイルの用途は何ですか?
私が物事を見る方法:
robots.txtには、ロボットに関する情報と指示が含まれています(したがって、Webクローラー、スパイダー、およびその他の種類のボットで読み取り/使用する必要があります)humans.txthttp://humanstxt.org/ によると、人間が消費するのに役立つ情報が含まれていますhackers.txtはハッカーをターゲットにする必要があるため、Ze'ev 指摘 のように、サイト所有者がハッカーに送信する可能性のあるすべての情報を含める必要があります。これはハッカーが何かを書く場所ではなく、サイトの所有者から情報を取得する場所だと思います(おそらく他の人が示唆したように、脆弱性を報告する方法について)。
humans.txtと同様に、_ http://www.hackerstxt.org/ にもhackers.txtサイトがあるようです。誰かがジョークとしてサイトを設定したかどうかはわかりませんが、誰かのBloggerサイトのブログ投稿にリンクしています。
投稿は、「ハッカー」としてのポスターの歴史について少し(私はGoogle翻訳で調べました)騒動しています。とにかく、終わりに向かって作家は言います:
したがって、私たちはイニシアチブタイプhackers.txtを宣伝する必要があると考えています。マネージャーは、潜在的な「善意のエイリアン」にメッセージを残し、マネージャーがサイトの脆弱性のレポートを受け取ることを明確にします。私はこれを回っていますが、実際には整形を完了するのは難しいということです。おそらく、「それほど良くないエイリアン」、Brainiacとタイプする、フリーハンドでサイトをブラッシングする、または「優れたボード管理者」、あなたの心とLiemを変えることにしましたが、私は何かできることがあると思います、私は知らない、おそらくJon Jonzを持っている、あるいはおそらくそのファイルhackers.txtの書き方を考えています。どう見ますか?邪悪!
だから私は、ポスターがhackers.txtの流れの中でhumans.txt標準のようなものを始めたいと思っているが、それを終えていないか、英語圏にそれを取り入れていない。
掘り下げてみると、BloggerのサイトはChema Alonsoと呼ばれる男が所有しているようです。彼は約35万人のTwitterフォロワーがいるため、スペインのプログラマーの世界でかなり評判が良いはずです( https://Twitter.com/chemaalonso )。彼はElevenPaths( http://elevenpaths.com/ )と呼ばれる会社で働いているようで、これは「セキュリティ製品開発における根本的な革新」を推進していると述べています。簡単なWhoisチェックでは、hackerstxt.orgドメインがマドリードの誰かによって登録されていることが示されているため、それはアロンソであると想定します。
http://www.textfiles.com/news/hackers.txt にある.txtファイルは、このスレッドの他の回答の一部で参照されているため、 http://humanstxt.org/ でのhackers.txt参照とは何の関係もないようで、「hackers.txt」の他のほとんどの検索結果も同様です。
一般にエドゥアルドヴェラとして知られている Eduardo A. Vela Nava (または sirdarckcat on Github および Twitter )は2010年からGoogleのセキュリティエンジニアを務めています(現在、彼は製品セキュリティレスポンスチームリードの役割を担っています)。
彼の他のセキュリティ専門家として、彼はサイトの脆弱性報酬プログラムの詳細を ホワイトハッカーハッカー / ペンテスター に効果的に伝える問題を熟考しました。
このような人物の1人は Chema Alonso です(これも Twitter にあります)。
彼は十分によく知られている スペイン語版ウィキペディアエントリ
2005年から2011年の間に、アロンソはエンタープライズセキュリティに関するマイクロソフトの最も価値のあるプロフェッショナルアワードを6年連続で受賞しました。それは彼の「スキル」について何かを教えてくれるはずです。
2011年2月3日アロンソは、サイトの管理者や開発者とハッカーとの間のコミュニケーションについての不満について書いています。
彼は humans.txtと同様のイニシアチブですが、ハッカー向け を提案しています。彼がブログ記事でこのhackers.txtイニシアチブについて言及しているように。
2011年4月にhumanstxt.orgのWebサイトに 新しいデザイン が追加されました。これには、hackers.txtファイルに言及する画像が含まれています。
この時点で、私は悲しいことに推測に服従しなければなりませんが...考慮してください:
humans.txtの背後にあるチーム はすべてスペイン(主にバルセロナ)の出身です- この時点で、アロンソはすでにスペインの開発者コミュニティでよく知られています
彼らがお互いの努力を知るようになったと想像するのは、これほど遠いことでしょうか?
2014年5月14日VelaはすでにGoogleで働いています Alonsoのブログ投稿にコメント 。彼らはプロの設定でさらに連絡があった可能性が最も高いです。 hackers.txtに関連する何かに関するアイデアを拡張的に共有したかどうかは不明です。
2017年7月6日VelaがTwitterにこの程度の質問を投稿しました:
/hackers.txtを作成して、脆弱性報奨金プログラムの対象かどうかと、それをどこに報告するかを記述しますか?
その後、空のgitリポジトリが githubのhackerstxt.org および メールスレッドがGoogleグループで開かれました のために作成され、このアイデアについてさらに議論しました。
2017年8月13日、 Edwin Foudil (または EdOverflow on Github および Twitter )は security.txt on Github のgitリポジトリを作成し、メーリングリストに返信しました。
私はこのグループで議論されているプロジェクト(https://github.com/EdOverflow/security-txt)と同様のプロジェクトを公開しており、フィードバックやアイデアの一部を入手したいと思っています。
このプロジェクトはrobots.txtに相当しますが、セキュリティポリシーを定義するためのものです。企業は、security.txtを自分のWebサイトに追加し、セキュリティの問題を発見したときにセキュリティ研究者が実行する必要があることの明確なガイドラインを定義できます。 security.txtを使用すると、バグ報奨金プログラムでスコープを追加できます。 security.txtはrobots.txtと同様の構文を使用します。これにより、マシンが解析しやすくなります。
彼は、部分的には、当時 GratiPay と呼ばれていた彼が取り組んでいたオープンソースプロジェクトに触発されました。 GratiPayには 2013年以降のSECURITY.txtファイル がありました。
彼のインスピレーションは、ますます多くのオープンソースプロジェクトがリポジトリに追加しているSECURITY.mdファイルからも導き出されました。
2017年9月10日、Foudilは最初の security.txtのドラフト を インターネットエンジニアリングタスクに提出しました力 。
2017年9月14日Alonsoは ブログ投稿 のタイトル(スペイン語から翻訳) "Security.TXT for IETF draft for my Hackers.TXT」。
タイトルを超えて、アロンソは彼の2011年のアイデアがドラフトの起源であったという事実をほのめかしていませんが、彼は努力の彼の承認を述べています。
2018年2月3日に、メールグループはsecurity.txtに同意するよう通知され、Velaはその旨をツイートしました Googleはすでに実装しています 。
さらに詳しい情報
詳細と、独自のsecurity.txtを生成するための nifty ツールは、https://securitytxt.org/
採用
RFCはまだ草案ですが、標準はWeb上の主要なプレーヤーによってすでにかなり採用されています。
Googleのsecurity.txt の他に、次のWebサイトにも1つあります。
- 1password
- [〜#〜] bbc [〜#〜]
- bit.ly-http://bit.ly/security.txt(リンクできない-- StackOverflowが投稿での一般的なリンク短縮機能の使用をブラックリストに登録するため )
- CERT NZ
- DailyMotion
- ドロップボックス
- Github
- haveibeenpwned
- NodeJs
- [〜#〜] npm [〜#〜]
- SSLを開く
- ショップ
(もしあなたが 'm /を見つけたら、well-knownサイトから自由に追加してください)
この質問はいくぶん公開されているので、あなたもいくつかの仮定を期待していると思います、私はここにコメントではなく私の意見を書いていますが、もしあれば、それは残念です。
humans.txt(以前聞いた)の背後にあるアイデアは、新しい習慣、新しいスタイルなどを作ることだと思います。実際、humans.txtからのこれらすべてのデータを配置できる連絡先ページを配置できます。 hackers.txtも新しいスタイルのようなものになると思います。
Hackers.txtははるかに早く、おそらく20年間、wwwサーバーと一般的なWebの知識が乏しかったとき、localhost Apache + PHP + MySQLを使用すると「ハッカー」になり、誰かがファイル以外にアクセスできるようになったと思いますindex.html(およびこれからのリンクされたページ)、hackers.txtを読むことは、ある種の賞品、または「見る人」に情報を表示するための何らかのフィルタでした これなど おそらく)。
冗談かもしれませんが、humans.txtが人間が読むためのものである場合、hackers.txtはハッカーに対する警告です。
いくつかのパブリックターミナルにSSHで接続するときに受け取る通知のように。 「あなたは見守られています...あなたが何か悪いことをしたら私たちはあなたを迎えます...」そういうことです。
ハッカーがサイトを侵害した場合、ファイルに気づき、それを読んで、あなたがビジネスを意味していることに気づき、怖がってしまう可能性があります。
面白いアイデア。
Hackers.txtには、サイトの所有者がデータをどのように使用したいかについてのメモを含める必要があると思います。 「映画のリストをかき集めてもかまいませんが、アプリ内の画像をホットリンクアウトしないでください」