Úkol #44667
otevřenýÚkol #41170: Piroplácení 2.0
Cíl #42230: Piroplácení 2.0 - úkoly pro 2024
Úkol #44025: Úpravy žádostí o proplacení
Bug: stahování vs preview PDF v prohlížečích
100%
Popis
Ahoj,
uživatele reportují, ze chrome a jiné prohlížeče například Brave (chromium) stahují PDF z příloh místo aby je zobrazovali v preview, i když mají takovou to prioritu nastavenou v nastavení.
Prosím o opravu, díky.
Aktualizováno uživatelem Tomi Valentová před 6 měsíc(ů)
- Stav změněn z Nový na V řešení (diskutuje se)
- Přiřazeno nastaven na Tomi Valentová
Zkontroluju.
Tohle bude způsobené tím, že nově přílohy (běžně PDF) neukazujeme jako preview v rámci stejné domény - pokud by uživatel s vyššími právy otevřel malicious soubor mimo nejnovější prohlížeč, bylo by možné neviditelně např. schválit jakoukoli žádost, označit je jako k proplacení atd. Viz. CVE-2024-4367.
Nicméně, nevidím důvod proč by ty soubory prohlížeče neměly otevírat mimo kontext domény, pokud to mají tak nastavené. Takže to (snad) upravit půjde.
Aktualizováno uživatelem Tomi Valentová před 4 měsíc(ů)
- Stav změněn z V řešení (diskutuje se) na Dokončen
- % Hotovo změněn z 0 na 100
Aktualizováno uživatelem Tomi Valentová před 4 měsíc(ů)
Záleží na Content-Disposition
headeru.
- Pokud ho piroplácení nedodá, default je většinou zobrazit v prohlížeči → tj. potenciální bezpečnostní problém, jelikož stahování není opt-in
inline
v headeru → automaticky se zobrazí všudedownload
v headeru → automaticky se stáhne všude, ale např. Firefox ho stejně automaticky otevře.
No, nevím. Zatím uzavírám.
Aktualizováno uživatelem Tomi Valentová před 4 měsíc(ů)
- Stav změněn z Dokončen na Řešit později