¿Los usuarios deberían poder actualizar su avatar utilizando la URL en lugar de cargar un archivo?

3

Estoy creando una aplicación web donde un usuario puede actualizar su avatar subiendo una imagen de su directorio de archivos de computadora. Así es como lo implementé:

<input id="profile_pic" class="avatar-upload" type="file">

Sin embargo, me he dado cuenta de que si un usuario cambia type="file" a type="url" , podrá subir una imagen usando cualquier URL. .
Entonces, ¿es una opción segura o debería prohibir a los usuarios que actúen así? ¿Cómo puede ser explotado?

    
pregunta Pavel Shikhov 14.04.2016 - 21:28
fuente

1 respuesta

1

Suponiendo que el usuario envía una URL que luego se almacena en el servidor y se coloca en el enlace de la imagen:

En general, es una buena práctica para los sitios web no entregar información personal sobre sus usuarios (incluidas las direcciones IP) que, si coloca una URL en un servidor que controla con un avatar que solo utilizará ese sitio, un el atacante podría usar para construir una lista de todas las direcciones IP de los usuarios y probablemente incluso hacer referencias cruzadas con ellos cuando están publicando o aparecer como "en línea" para restringir quién es qué IP. Si bien aún es posible recopilar esto (es decir, al publicar un enlace en el mismo, eso incita a los usuarios a hacer clic en él) hacer que se haga automáticamente es una forma incorrecta. Los usuarios no pueden evitar regalar su IP a ningún otro usuario cuando visitan la página. Recomiendo encarecidamente que esto no sea una "característica".

    
respondido por el Jeff Meden 14.04.2016 - 21:40
fuente

Lea otras preguntas en las etiquetas