はてなブックマーク

security.txt は非常にシンプルな text/plain ファイルであり、既成のものをコピペして .well-known/security.txt として配置するだけであれば、ものの数分で対応できることでしょう。 また、自動で作成してくれる Web アプリも公式で用意されています。 ですが、例えば「Preferred-Languages に優先順位はあるの？」、「攻撃者によって security.txt が改ざんされたらどうなるの？」といったことは気にならないでしょうか。 私はとても気になります。 というわけで、早速 RFC9116 を読んでいきましょう。 tl;dr はこちら Abstract Section 1 は割愛すると書きましたが、概要にだけは最初に触れておきます。security.txt は第三者であるセキュリティリサーチャーのために書かれたものであり、この RFC