Здравствуйте!
На странице "Рекомендации по обеспечению высокого уровня безопасности" вы пишите, что "Одна из типичных ошибок, при обработке загрузки файлов на сервер - это недостаточная проверка или вообще отсутствие проверки расширений имен загружаемых файлов" и далее, что "единственно правильный вариант это составить список допустимых расширений имен файлов (например: jpg, gif, png) и разрешать загружать только их".
Для чего вы рекомендуете ввести эту проверку?
Понятно, что мы не можем определить тип файла, исходя из его расширения. Не считаете ли вы, что эта «защита» не сыграет абсолютно никакой роли, любой мало-мальски думающий злоумышленник, все равно переименует файл, если ему захочется что-нибудь натворить?
На странице "Рекомендации по обеспечению высокого уровня безопасности" вы пишите, что "Одна из типичных ошибок, при обработке загрузки файлов на сервер - это недостаточная проверка или вообще отсутствие проверки расширений имен загружаемых файлов" и далее, что "единственно правильный вариант это составить список допустимых расширений имен файлов (например: jpg, gif, png) и разрешать загружать только их".
Для чего вы рекомендуете ввести эту проверку?
Понятно, что мы не можем определить тип файла, исходя из его расширения. Не считаете ли вы, что эта «защита» не сыграет абсолютно никакой роли, любой мало-мальски думающий злоумышленник, все равно переименует файл, если ему захочется что-нибудь натворить?