Dobbiamo implementare una funzione di caricamento dell'immagine del profilo utente nella nostra applicazione web. L'utente può caricare la sua immagine del profilo.
Dopo aver caricato l'immagine, verrà salvata in un DB2 DB e verrà visualizzata solo all'utente che ha caricato l'immagine dopo il login.
Lo stack tecnologico è J2EE, AIX, DB2.
Abbiamo ricevuto una strana denuncia dal nostro dipartimento di sicurezza che questa funzione deve essere eliminata perché l'utente può caricare un virus e questo infetterà il server!
Non capisco come un utente caricherà il virus. Alla fine della giornata, il virus è un programma che deve essere eseguito, giusto?
Seconda cosa: la piattaforma è UNIX-AIX. Anche se un utente ha caricato un malware, il server non verrà infettato, vero?
Ultima cosa: esiste la possibilità che l'utente venga infettato da XSS nel caso in cui sia stato caricato un file JS invece dell'immagine. Ma, posso vedere che nel nostro caso questo non è valido perché solo l'utente può caricare l'immagine e sarà resa solo all'utente.
La mia comprensione è giusta?