Projekt

Obecné

Profil

Úkol #44667

otevřený

Úkol #41170: Piroplácení 2.0

Cíl #42230: Piroplácení 2.0 - úkoly pro 2024

Úkol #44025: Úpravy žádostí o proplacení

Bug: stahování vs preview PDF v prohlížečích

Přidáno uživatelem David Raušer před 6 měsíc(ů). Aktualizováno před 4 měsíc(ů).

Stav:
Řešit později
Priorita:
Normální
Přiřazeno:
Kategorie:
-
Cílová verze:
-
Začátek:
04.06.2024
Uzavřít do:
% Hotovo:

100%

Odhadovaná doba:
Smlouva:

Popis

Ahoj,

uživatele reportují, ze chrome a jiné prohlížeče například Brave (chromium) stahují PDF z příloh místo aby je zobrazovali v preview, i když mají takovou to prioritu nastavenou v nastavení.

Prosím o opravu, díky.

Aktualizováno uživatelem Tomi Valentová před 6 měsíc(ů)

  • Stav změněn z Nový na V řešení (diskutuje se)
  • Přiřazeno nastaven na Tomi Valentová

Zkontroluju.

Tohle bude způsobené tím, že nově přílohy (běžně PDF) neukazujeme jako preview v rámci stejné domény - pokud by uživatel s vyššími právy otevřel malicious soubor mimo nejnovější prohlížeč, bylo by možné neviditelně např. schválit jakoukoli žádost, označit je jako k proplacení atd. Viz. CVE-2024-4367.

Nicméně, nevidím důvod proč by ty soubory prohlížeče neměly otevírat mimo kontext domény, pokud to mají tak nastavené. Takže to (snad) upravit půjde.

Aktualizováno uživatelem Tomi Valentová před 4 měsíc(ů)

  • Stav změněn z V řešení (diskutuje se) na Dokončen
  • % Hotovo změněn z 0 na 100

Aktualizováno uživatelem Tomi Valentová před 4 měsíc(ů)

Záleží na Content-Disposition headeru.

  • Pokud ho piroplácení nedodá, default je většinou zobrazit v prohlížeči → tj. potenciální bezpečnostní problém, jelikož stahování není opt-in
  • inline v headeru → automaticky se zobrazí všude
  • download v headeru → automaticky se stáhne všude, ale např. Firefox ho stejně automaticky otevře.

No, nevím. Zatím uzavírám.

Aktualizováno uživatelem Tomi Valentová před 4 měsíc(ů)

  • Stav změněn z Dokončen na Řešit později

Také k dispozici: Atom PDF