Avatar Upload prüft lediglich Dateiendnung aber nicht das Format

  • Affected Version
    WoltLab Suite 5.5
    Affected App
    WoltLab Suite Core

    Moin,


    mir ist aufgefallen, dass die Avatar Upload Funktion lediglich die Dateiendung prüft, nicht aber das Format der Datei. Somit ist es möglich, trotz Entfernung der .gif Dateiendung aus den erlaubten Dateiendungen in der jeweiligen Benutzergruppe, animierte Avatare als .jpg oder .png hochzuladen, obwohl es sich hierbei um Gif Dateien handelt.

    • New
    • Official Post

    Hallo,


    allgemeiner Hinweis dazu: Die Software arbeitet intern grundsätzlich auf Basis des MIME-Typen, Dateiendungen sind Schall und Rauch. Die Liste der erlaubten Dateiendungen beispielsweise bei Dateianhängen dient am Wesentlichen dem Zweck, dass ein Nutzer nicht einfach eine waffenfähige .exe-Datei hochlädt, die dann nur noch gedoppelklickt werden muss.


    In diesem Fall haben wir den Abgleich des MIME-Typen mit der Dateiendung spezifisch für die Avatare ergänzt, weil dort die Erwartungshaltung, dass ein GIF nicht in einem PNG versteckt werden kann, nachvollziehbar ist und die Änderung simpel genug war.


    Abschließend möchte ich aber noch bemerken, dass auch PNG-Dateien animiert sein können:


    APNG - Wikipedia


    Mittlerweile sind die AFAIK auch in allen Browsern unterstützt.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!