Open davidmz opened 4 years ago
indeyets
commented
3 years ago @n1313 у нас нет до конца сформулированного ответа на вопрос "зачем?". Вопросы безопасности кажется уже закрыты.
Было мнение о том, что не хочется превращать фидик в файловый хостинг, но whitelist в этом и не поможет
n1313
commented
3 years ago А в чем у нас сейчас состоит защита от заливки html-файлов с активным содержимым?
indeyets
commented
3 years ago Защита не от заливки, а от исполнения. Они отдаются с заголовком "attachment" и скачиваются вместо отображения
n1313
commented
3 years ago Это касается только свежезалитых файлов? Моя старая хтмлька с алертом внутри все еще работает, но если ее заново залить, то да, отдается аттачем
indeyets
commented
3 years ago Это касается только свежезалитых файлов? Моя старая хтмлька с алертом внутри все еще работает, но если ее заново залить, то да, отдается аттачем
Да. По старым не проходились
n1313
commented
3 years ago Ладно. По-моему, ограничения на заливку помогут в достижении цели "не превращать фидик в файловый хостинг", пусть даже соображения секьюрности больше не применимы, поэтому этот пиар стоит дотащить до конца. Но если команда думает иначе, то тоже ок, в таком случае его стоит закрыть или как-то явно поместить "в архив", чтобы не было впечатления недоделанной работы
dsumin
commented
3 years ago Я голосую за whitelist.
indeyets
commented
3 years ago Я против голосования :) Вопрос во многом философский и я за медленную дискуссию без дедлайна. Нужен спокойный консенсус
n1313
commented
3 years ago @kukutz @indeyets @dsumin прошел год с первого коммита и полгода с последнего комментария, достаточно ли медленная дискуссия без дедлайна получается? :)
dsumin
commented
3 years ago да давайте уже заберем в код :)
Нам стоит вернуться к этой задаче. @indeyets @davidmz ?