Restrict the allowed attachment types to explicit list

[davidmz]

No description provided.

[n1313]

Нам стоит вернуться к этой задаче. @indeyets @davidmz ?

[indeyets]

@n1313 у нас нет до конца сформулированного ответа на вопрос "зачем?". Вопросы безопасности кажется уже закрыты.

Было мнение о том, что не хочется превращать фидик в файловый хостинг, но whitelist в этом и не поможет

[n1313]

А в чем у нас сейчас состоит защита от заливки html-файлов с активным содержимым?

[indeyets]

Защита не от заливки, а от исполнения. Они отдаются с заголовком "attachment" и скачиваются вместо отображения

[n1313]

Это касается только свежезалитых файлов? Моя старая хтмлька с алертом внутри все еще работает, но если ее заново залить, то да, отдается аттачем

[indeyets]

Это касается только свежезалитых файлов? Моя старая хтмлька с алертом внутри все еще работает, но если ее заново залить, то да, отдается аттачем

Да. По старым не проходились

[n1313]

Ладно. По-моему, ограничения на заливку помогут в достижении цели "не превращать фидик в файловый хостинг", пусть даже соображения секьюрности больше не применимы, поэтому этот пиар стоит дотащить до конца. Но если команда думает иначе, то тоже ок, в таком случае его стоит закрыть или как-то явно поместить "в архив", чтобы не было впечатления недоделанной работы

[dsumin]

Я голосую за whitelist.

[indeyets]

Я против голосования :)
Вопрос во многом философский и я за медленную дискуссию без дедлайна. Нужен спокойный консенсус

[n1313]

@kukutz @indeyets @dsumin прошел год с первого коммита и полгода с последнего комментария, достаточно ли медленная дискуссия без дедлайна получается? :)

[dsumin]

да давайте уже заберем в код :)