Mantengo un sitio web donde los usuarios pueden subir archivos. Ya estoy haciendo algunas buenas comprobaciones MIME, comprobaciones de coherencia, comprobaciones de virus, listas negras basadas en listas hash, otras comprobaciones personalizadas y también utilicé la mayoría de las mejores prácticas relacionadas con la funcionalidad de carga de archivos. Pero estaba pensando en el siguiente peor escenario:
Digamos que un usuario logrará cargar un archivo SWF y podrá acceder a él desde mi dominio y ejecutarlo en un navegador. ¿Puedo aislar o reducir los riesgos al agregar un archivo crossdomain.xml estricto? Solo para evitar la escalada en este escenario.
Mi sitio actualmente no utiliza ningún flash ni Silverlight y, por ese motivo, supongo que no necesito un archivo crossdomain.xml. Sin embargo, me pregunto si puedo configurar un archivo crossdomain.xml configurado de forma estricta en caso de que un usuario pueda cargar y ejecutar código malicioso (por ejemplo, mediante flash).
¡Me encantaría escuchar algunas opiniones sobre esto! Gracias de antemano!