Каково использование файла hackers.txt?

Первая

Нет. Я не прошу вас научить меня взломать, мне просто интересно об этом файле и его содержании.

Мое путешествие

Когда я нырнул в новый Boilerplate HTML5, я наткнулся на people.txt. Я пошел за ним, и я пришел на этот сайт http://humanstxt.org/.

Сразу же мое внимание обратилось на эту картину:

Я читаю это правильно? Hackers.txt?

Итак, я возобновил свое путешествие в google и остановился на в этих статьях

Когда я начал читать это, у меня появилось ощущение, что это касается разницы между хакерами и крекеры. Позже у меня возникло ощущение, что я могу ошибаться и что это место в том, что этот файл hackers.txt - это своего рода гостевая книга для хакеров?

Также другие примеры файлов hackers.txt я нашел здесь

Некоторые файлы содержат код, другие имеют только больную информацию.

Теперь я действительно смущен, гостевая книга, ручные учебники или просто история?

Вопрос

В чем заключается использование этого файла hackers.txt?

Ответ 1

Здесь вы помещаете script для хакеров.

Ответ 2

То, как я вижу вещи:

robots.txt содержит информацию и инструкции для роботов (поэтому их следует читать/использовать веб-сканерами, пауками и другими типами ботов).
humans.txt содержит полезную информацию, которая будет потребляться людьми, согласно http://humanstxt.org/
hackers.txt должен быть нацелен на хакеров, поэтому он должен содержать любую информацию, которую владелец сайта может захотеть передать хакеру, как указывал Ze'ev . Я не думаю, что это должно быть место для хакеров, чтобы написать что-нибудь, а скорее получить информацию от владельца сайта (возможно, о том, как сообщать об уязвимостях, как это было предложено другими).

Ответ 3

Как и в случае с humans.txt, на сайте http://www.hackerstxt.org/ также hackers.txt сайт hackers.txt. Я не уверен, что кто-то настроил сайт как шутку или нет, но он ссылается на сообщение в блоге на сайте Blogger.

Пост немного ломается (я поместил его через Google Translate) об истории постера как "хакера". Во всяком случае, к концу писатель говорит:

поэтому полагаем, что мы должны продвигать инициативу типа hackers.txt, в которой менеджеры оставляют нам сообщение потенциальным "доброжелательным инопланетянам", в котором ясно, что они будут делать, когда менеджеры получат сообщение об уязвимости на вашем сайте. Я обводил это, правда в том, что трудно закончить формирование, потому что, возможно, какой-то "инопланетянин, который не так хорош", типа Brainiac, берет свободную руку, чтобы почистить сайт, или "хороший администратор форума", решите изменить свое мнение и Лима, но я думаю, что мы должны быть в состоянии что-то сделать, я не знаю, возможно, с Джоном Джонсом или, возможно, подумать о том, как написать этот файл hackers.txt. Как вы это видите? Привет Зло!

Поэтому я предполагаю, что hackers.txt хочет запустить своего рода стандарт hackers.txt в духе humans.txt, но еще не завершил его или не получил его в англоязычном мире.

Похоже, сайт Blogger принадлежит парню по имени Чема Алонсо, который должен быть уважаемым в мире испанских программистов, поскольку у него около 35 тысяч подписчиков в Твиттере (https://twitter.com/chemaalonso). Похоже, он работает в компании под названием ElevenPaths (http://elevenpaths.com/), которая говорит, что она движет "радикальными инновациями в разработке продуктов для обеспечения безопасности". Быстрая проверка Whois показывает, что домен hackerstxt.org зарегистрирован кем-то в Мадриде, поэтому я предполагаю, что это Алонсо.

Файл .txt по адресу http://www.textfiles.com/news/hackers.txt, на который ссылались некоторые другие ответы в этой теме, похоже, не имеет ничего общего с hackers.txt Ссылка hackers.txt на http://humanstxt.org/, а также большинство других результатов поиска для 'hackers.txt'.

Ответ 4

Возможно, это шутка, но если people.txt для людей читается, то, возможно, hackers.txt является предупреждением для хакеров.

Как и уведомление, которое вы получаете, когда вы используете SSH в нескольких открытых терминалах. "За вами следят... мы получим вас, если вы сделаете что-нибудь плохое..." Вот что.

Если хакер сделал компрометацию сайта, он может заметить файл, прочитать его, понять, что вы имеете в виду бизнес и быть в страхе!

Интересная идея.

Ответ 5

Поскольку этот вопрос несколько открыт, я думаю, что вы также ожидаете некоторых предположений, я пишу здесь (не в комментарии) свое мнение, но если оно должно быть там, я сожалею.

Я думаю, что идея, лежащая за humans.txt (о которой я раньше слышала), это сделать новую привычку, новый стиль или что-то в этом роде. Фактически, вы можете поместить страницу контакта, где могут быть помещены все эти данные из humans.txt. Я думаю, что hackers.txt может также быть чем-то вроде нового стиля.

Я полагаю, что hackers.txt был намного раньше, возможно, в течение 20 лет, когда серверы www и популярные веб-знания были плохими, при использовании localhost Apache + PHP + MySQL делал вас "хакером", и если кто-то мог получить доступ к файл, отличный от index.html (и связанных страниц из этого), чтение hackers.txt было своего рода призом или, возможно, каким-то фильтром, чтобы показать некоторую информацию "тем, кто созерцает" (например, этот).

Ответ 6

Я думаю, что hackers.txt должен содержать примечания о том, как владелец сайта хотел бы использовать данные... Например. "Я не против, если вы очистите списки фильмов, но, пожалуйста, не горячая ссылка на изображения в вашем приложении"

Ответ 7

Короткий ответ

Файл hackers.txt не имеет смысла. Это похоже на security.txt, который был заменен.

Полный ответ

Эдуардо Вела, обычно известный как Эдуардо Вела, Эваардо Вела Нава (или sirdarckcat в Github и Twitter) работает инженером по безопасности в Google с 2010 года. (В настоящее время он является руководителем группы реагирования на вопросы безопасности продуктов).

Как и другие эксперты по безопасности до него, он размышлял над вопросом эффективной передачи деталей программы вознаграждения за уязвимость сайта хакерам/тестировщикам белых шляп.

Одним из таких людей является Чема Алонсо (также в Твиттере).

Он достаточно известен, чтобы гарантировать запись в испанской Википедии

В период с 2005 по 2011 год Алонсо был удостоен самой ценной профессиональной награды Microsoft за корпоративную безопасность 6 лет подряд. Это должно сказать вам кое-что о его "skillz".

3 февраля 2011 Алонсо написал о своем разочаровании темой общения между администраторами и/или разработчиками сайта и хакерами.

Он предлагает аналогичную инициативу humans.txt но для хакеров. Как он упоминает эту инициативу hackers.txt в своем блоге.

В апреле 2011 года сайт humanstxt.org получил новый дизайн, включающий изображение, на котором упоминается файл hackers.txt.

На данный момент, к сожалению, я должен предположить, но... рассмотреть:

Команда humans.txt из Испании (в основном из Барселоны)
На данный момент Алонсо уже довольно хорошо известен в испанском сообществе разработчиков.

Было бы так далеко, чтобы представить, что они узнали друг о друге усилия?

14 мая 2014 года Вела, уже работающая в Google, прокомментировала сообщение Алонсо в блоге. Скорее всего, у них был дальнейший контакт в профессиональной обстановке. Независимо от того, активно ли они поделились своей идеей относительно всего, что связано с hackers.txt, неизвестно.

6 июля 2017 года Вела опубликовал вопрос в такой степени в твиттере:

Как насчет того, чтобы создать файл /hackers.txt, в котором будет указано, находится ли что-то в рамках программы вознаграждений за уязвимости или нет, и куда сообщать об этом?

Впоследствии было создано пустое хранилище git для hackerstxt.org на github, и в группах Google была открыта ветка электронной почты для дальнейшего обсуждения этой идеи.

13 августа 2017 года Эдвин Фудил (или EdOverflow в Github и Twitter) создал git-репозиторий для security.txt на Github и ответил на список рассылки:

Я опубликовал проект, аналогичный обсуждаемому в этой группе (https://github.com/EdOverflow/security-txt), и хотел бы получить ваши отзывы и идеи.

Проект является эквивалентом robots.txt, но для определения политики безопасности. Компании могут добавить файл security.txt на свой веб-сайт и определить четкие инструкции о том, что должны делать исследователи в области безопасности при обнаружении проблемы безопасности. security.txt также позволяет программам с ошибками добавлять туда свою область. security.txt использует синтаксис, аналогичный robots.txt, что упрощает синтаксический анализ машин.

10 сентября 2017 года Foudil представил первый проект для security.txt в Internet Engineering Task Force.

14 сентября 2017 года Алонсо написал пост в блоге с заголовком (перевод с испанского) "Security.TXT - черновик IETF для моего Hackers.TXT".

Помимо названия, Алонсо не ссылается на тот факт, что его идея 2011 года была источником проекта, но он заявляет о своем одобрении этих усилий.

3 февраля 2018 года почтовой группе сообщили, что она уступила security.txt и Вела написал, что Google уже внедрил ее.

Дальнейшая информация

Подробности и отличный инструмент для создания собственного security.txt можно найти по адресу https://securitytxt.org/

Несмотря на то, что RFC все еще находится в стадии разработки, стандарт уже достаточно хорошо принят основными игроками в сети.

сбор на

Помимо security.txt в Google, на сайте есть еще один:

1password
BBC
bit.ly - http://bit.ly/security.txt (невозможно связать, потому что StackOverflow помещает в черный список использование общих сокращений ссылок в сообщениях)
CERT NZ
DailyMotion
Dropbox
facebook
Github
haveibeenpwned
NodeJs
NPM
Открыть SSL
Shopify

(Не стесняйтесь добавлять больше из известных сайтов, если вы найдете м)