Door Anoniem
"Er moet een controle worden gedaan op het type bestand". Tjah, is netter, maar het is wederom geen beveiligingsprobleem. Zolang de webserver bij het sturen van de avatar file naar de browser het type maar op jpeg ofzo zet.. Dan kan je op webpagina hooguit garbage op je scherm krijgen.
Assumption is the mother of all fuckups! Niet op de webserver gaan vertrouwen, beveiliging hoort op alle lagen thuis. Programmeurs en beheerders communiceren vaak niet voldoende om problemen te voorkomen, waarom het dus niet in de code oplossen?
"zodat aanvallers geen geen interne informatie over het systeem krijgen". Zowieso moet je op een production server de errors en warnings niet naar de browser, maar naar een file sturen. Het geniet slechts de voorkeur om goed return values te controleren. Maar wederom niet een nijpend security probleem.
Information gathering is 1 van de eerste dingen die een hacker doet, het is dus belangrijk om geen info weg te geven. Bovendien laat je daarmee zien dat je er over hebt nagedacht en gaat ie misschien gelijk de buren hacken.