Attualmente lavora su un sito Web che consente agli utenti di caricare file di dati per l'elaborazione automatizzata. Ai fini della sicurezza e della guida degli utenti, abbiamo implementato una whitelist di estensione sia lato client che lato server per accettare solo suffissi di dati comuni come .txt e .csv e così via.
Abbiamo ora scoperto che alcuni file di dati che vengono inviati non hanno alcuna estensione di file.
Questi file non vengono eseguiti dai processi dopo il caricamento: vengono analizzati per i modelli di testo. Quindi avere file non verificati sul server non rappresenta, in teoria, un grande rischio per la sicurezza. I dati in elaborazione, tuttavia, sono dati personali coperti dalla legge sulla protezione dei dati, quindi una violazione sarebbe catastrofica.
È sicuro consentire agli utenti di caricare file senza estensioni è questa istanza? E, come domanda più ampia, è sempre buona pratica consentire a un sito di consentire questi file?