Skip to content

Restrict the allowed attachment types to explicit list#472

Open
davidmz wants to merge 1 commit into
stablefrom
attachments-allowlist
Open

Restrict the allowed attachment types to explicit list#472
davidmz wants to merge 1 commit into
stablefrom
attachments-allowlist

Conversation

@davidmz

@davidmz davidmz commented Aug 17, 2020

Copy link
Copy Markdown
Member

No description provided.

@dsumin dsumin requested a review from indeyets November 3, 2020 16:56
@n1313

n1313 commented Feb 19, 2021

Copy link
Copy Markdown
Contributor

Нам стоит вернуться к этой задаче. @indeyets @davidmz ?

@indeyets

Copy link
Copy Markdown
Contributor

@n1313 у нас нет до конца сформулированного ответа на вопрос "зачем?". Вопросы безопасности кажется уже закрыты.

Было мнение о том, что не хочется превращать фидик в файловый хостинг, но whitelist в этом и не поможет

@n1313

n1313 commented Feb 19, 2021

Copy link
Copy Markdown
Contributor

А в чем у нас сейчас состоит защита от заливки html-файлов с активным содержимым?

@indeyets

Copy link
Copy Markdown
Contributor

Защита не от заливки, а от исполнения. Они отдаются с заголовком "attachment" и скачиваются вместо отображения

@n1313

n1313 commented Feb 19, 2021

Copy link
Copy Markdown
Contributor

Это касается только свежезалитых файлов? Моя старая хтмлька с алертом внутри все еще работает, но если ее заново залить, то да, отдается аттачем

@indeyets

Copy link
Copy Markdown
Contributor

Это касается только свежезалитых файлов? Моя старая хтмлька с алертом внутри все еще работает, но если ее заново залить, то да, отдается аттачем

Да. По старым не проходились

@n1313

n1313 commented Feb 19, 2021

Copy link
Copy Markdown
Contributor

Ладно. По-моему, ограничения на заливку помогут в достижении цели "не превращать фидик в файловый хостинг", пусть даже соображения секьюрности больше не применимы, поэтому этот пиар стоит дотащить до конца. Но если команда думает иначе, то тоже ок, в таком случае его стоит закрыть или как-то явно поместить "в архив", чтобы не было впечатления недоделанной работы

@dsumin

dsumin commented Feb 19, 2021

Copy link
Copy Markdown
Member

Я голосую за whitelist.

@indeyets

Copy link
Copy Markdown
Contributor

Я против голосования :)
Вопрос во многом философский и я за медленную дискуссию без дедлайна. Нужен спокойный консенсус

@n1313

n1313 commented Aug 6, 2021

Copy link
Copy Markdown
Contributor

@kukutz @indeyets @dsumin прошел год с первого коммита и полгода с последнего комментария, достаточно ли медленная дискуссия без дедлайна получается? :)

@dsumin

dsumin commented Aug 6, 2021

Copy link
Copy Markdown
Member

да давайте уже заберем в код :)

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

None yet

Projects

None yet

Development

Successfully merging this pull request may close these issues.

4 participants