Erlaubte Dateitypen

Derzeit werden für Anlagen alle Dateitypen (Content-Type: * / *) zugelassen. Zur Sicherheit sollte jedoch nur eine definierte Menge an Dateitypen zugelassen werden.

added 1 deleted label

added 1 deleted label

changed the description

added 1 deleted label and removed 1 deleted label

assigned to @Andreas_Huber

Entscheidung: In der Spezifikation wird weiterhin */* zugelassen, aber ein Hinweis eingebracht, dass eine Liste von Dateitypen ausgeschlossen ist (EXE, BAT etc.)

changed milestone to %beta7

removed 1 deleted label

added 1 deleted label

Ich halte prinzipiell eine Positivliste hier für geeigneter als eine Negativliste. Letztendlich stellt der Mime-Type hier aber ohnehin nur eine Information für das empfangende System dar und bietet keinen tatsächlichen Schutz davor, welche Daten schlussendlich als Anlage angefügt werden.

Vorschlag: Erlaubte Dateitypen sollten je nach Fachlichkeit vom empfangenden System definiert werden.

Das Ticket können wir aus meiner Sicht erst einmal schließen.

Wir hatten diskutiert, dass eine Positivliste besser wäre. Dafür müsste aber eine Liste aller zulässigen Anlagen an Anträgen aufgestellt werden. Und mit der Verschlüsselung wäre das dann sowieso wieder hinfällig.

Ich mache das Ticket erst einmal zu. Wenn hier noch Abstimmungsbedarf besteht, gerne wieder aufmachen.

closed

removed 1 deleted label