不,我不是要你教我黑客,我只是对这个文件及其内容感到好奇。
当我深入研究新的 HTML5 样板时,我遇到了 human.txt。我用谷歌搜索它,我来到了这个网站http://humanstxt.org/。
我的注意力立刻转到了这张照片上:
我读对了吗?Hackers.txt?
于是我重新开始了我在谷歌的旅程,并在这篇文章中停下来
当我开始阅读这篇文章时,我觉得它是关于黑客和饼干之间的区别。后来我觉得我可能错了,这个地方是这个hackers.txt文件是黑客的留言簿?
还有其他关于我在这里找到的 hackers.txt 文件的例子
一些文件包含代码,而另一些文件则包含有害信息。
现在我真的很困惑,留言簿,黑客教程还是只是历史?
这个hackers.txt文件有什么用?
我看待事物的方式:
robots.txt包含机器人的信息和说明(因此它应该被网络爬虫、蜘蛛和其他类型的机器人阅读/使用)humans.txt根据http://humanstxt.org/包含可供人类使用的有用信息hackers.txt正如 Ze'ev指出的那样,它应该针对黑客,因此它应该包含网站所有者可能想要传输给黑客的任何信息。我认为这不应该是黑客写任何东西的地方,而是从网站所有者那里获取信息(也许是关于如何报告漏洞,正如其他人所建议的那样)。与 一样,在http://www.hackerstxt.org/humans.txt上似乎也有一个hackers.txt站点。我不确定是否有人将此网站设置为玩笑,但它链接到某人的 Blogger 网站上的博客文章。
这篇文章对张贴者作为“黑客”的历史有点漫不经心(我通过谷歌翻译)。无论如何,作者在最后说:
因此,相信我们应该推广一种倡议类型 hackers.txt ,其中经理给我们留言给潜在的“优秀的外星人”,明确表示他们会让经理收到关于您网站漏洞的报告。我一直在转这个,其实很难完成整形,因为可能是一些“不太好的外星人”,输入Brainiac,腾出手刷一个网站,或者是“好板管理员”,决定改变主意和 Liem,但我认为我们应该能够做点什么,我不知道,可能有 Jon Jonz,或者可能正在考虑如何编写该文件 hackers.txt。你怎么看?问候邪恶!
所以我假设张贴者想要开始一种类似的hackers.txt标准humans.txt,但还没有完成,或者还没有进入英语世界。
仔细研究,Blogger 网站似乎归一个名叫 Chema Alonso 的人所有,他在西班牙程序员的世界中一定很有名望,因为他有大约 35,000 个 Twitter 追随者 ( https://twitter.com/chemaalonso )。他似乎在一家名为 ElevenPaths ( http://elevenpaths.com/ ) 的公司工作,该公司称其正在推动“安全产品开发的彻底创新”。快速的 Whois 检查显示该hackerstxt.org域是由马德里的某人注册的,所以我假设它是 Alonso。
http://www.textfiles.com/news/hackers.txt上的.txt文件已被该线程中的其他一些答案所引用,似乎与http上的引用没有任何关系://humanstxt.org/,“hackers.txt”的大多数其他搜索结果也没有。hackers.txt
Eduardo A. Vela Nava(或sirdarckcat在Github和Twitter 上)通常被称为 Eduardo Vela,自 2010 年以来一直是 Google 的安全工程师。(他目前担任产品安全响应团队负责人)。
作为他之前的其他安全专家,他思考了如何将网站漏洞奖励计划的细节有效地传达给白帽黑客/渗透测试者的问题。
一个具体的这样的人是Chema Alonso(也在Twitter 上)。
他的知名度足以保证西班牙维基百科条目
2005 年至 2011 年间,Alonso连续 6 年被授予 Microsoft 企业安全最有价值专业奖。这应该告诉你一些关于他的“技能”的事情。
2011 年 2 月 3 日,阿隆索写了一篇关于他对网站管理员和/或开发人员与黑客之间交流话题的不满。
他提出了一项与黑客类似的倡议humans.txt。hackers.txt正如他在博客文章中提到的那样。
2011 年 4 月,humanstxt.org 网站有了一个新设计,其中包括提及该hackers.txt文件的图像。
在这一点上,我必须遗憾地屈服于猜想,但是……考虑一下:
humans.txt的球队都来自西班牙(主要是巴塞罗那)想象他们了解彼此的努力是否会如此遥远?
2014 年 5 月 14 日,已经在 Google 工作的 Vela对 Alonso 的一篇博文发表了评论。他们很可能在专业环境中进行了进一步的接触。他们是否广泛地分享了他们关于任何相关事物的想法hackers.txt是未知的。
2017 年 7 月 6 日,Vela 在推特上发布了这样一个问题:
我们如何创建一个 /hackers.txt 来说明某事是否在漏洞奖励计划的范围内以及在哪里报告?
随后,在 github 上为hackerstxt.org 创建了一个空的 git 存储库, 并在 Google Groups 上打开了一个电子邮件线程以进一步讨论这个想法。
2017 年 8 月 13 日,Edwin Foudil(或EdOverflow在Github和Twitter 上)在security.txtGithub上创建了一个 git 存储库并回复了邮件列表:
我已经发布了一个与本小组讨论的项目类似的项目 (https://github.com/EdOverflow/security-txt),并且很想得到您的一些反馈和想法。
该项目相当于 robots.txt,但用于定义安全策略。公司可以将 security.txt 添加到他们的网站,并为安全研究人员在发现安全问题时必须执行的操作定义明确的指导方针。security.txt 还允许漏洞赏金计划在那里添加它们的范围。security.txt 使用与 robots.txt 类似的语法,这应该使机器更容易解析。
他的部分灵感来自他当时正在从事的一个名为GratiPay的开源项目。GratiPay自 2013 年以来就有一个SECURITY.txt文件。
他的灵感还来自SECURITY.md越来越多的开源项目添加到其存储库中的文件。
2017 年 9 月 10 日,Foudil 向Internet工程任务组提交了初稿security.txt。
2017 年 9 月 14 日, Alonso 写了一篇博客文章,标题为(翻译自西班牙语)“Security.TXT an IETF draft for my Hackers.TXT”。
除了标题之外,阿隆索并没有提到他 2011 年的想法是草案的起源,但他确实表示了他对这项努力的认可。
2018 年 2 月 3 日,邮件组被告知要让步,security.txt而 Vela 在推特上说谷歌已经实施了一项。
可以在
https://securitytxt.org/找到详细信息和生成自己的漂亮工具security.txt
尽管 RFC 仍处于草案阶段,但该标准已被网络上的主要参与者很好地采用。
除了Google 的 security.txt之外,在以下网站上也有一个:
(如果您发现'm,请随时从知名网站添加更多内容)
这可能是个玩笑,但如果humans.txt 是供人类阅读的,那么可能hackers.txt 是对黑客的警告。
就像您通过 SSH 连接到更多公共终端时收到的通知一样。“你被监视了……如果你做了什么坏事,我们会抓到你的……” 诸如此类的事情。
如果黑客确实入侵了该站点,他们可能会注意到该文件,阅读它,意识到您是认真的,然后被吓跑!
有趣的想法。
由于这个问题有点开放,我认为您也期待一些假设,我在这里(不是在评论中)写下我的意见,但如果它应该在那里,我很抱歉。
我认为背后的想法humans.txt(我以前听说过)是养成新习惯、新风格或类似的东西。事实上,您可以放置一个联系页面,所有这些数据humans.txt都可以放在其中。我认为这hackers.txt也可能是新风格。
我想hackers.txt要早得多,可能是20年,当时www服务器和流行的网络知识很差,使用localhost时Apache + PHP + MySQL会让你成为“黑客”,如果有人可以访问该文件而不是index.html(以及由此链接的页面),阅读hackers.txt是某种奖品,或者可能是某种过滤器,可以向“那些看到的人”(也许像这个)显示一些信息。
我认为hackers.txt应该包含关于网站所有者希望如何使用数据的注释......例如“我不介意你是否抓取电影列表,但请不要在你的应用程序中热链接图像”