<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-2" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
chasd, 09.03.04 18:58:
<blockquote
 cite="mid:DDEFCECD-2C4B-407C-B282-3E983673991B@silveroaks.com"
 type="cite">
  <pre wrap="">On Mar 4, 2009, at 10:56 AM, till wrote:

  </pre>
  <blockquote type="cite">
    <pre wrap="">Maybe we need a wiki page.

@Charles, would you be so kind and start on one? I'd contribute some
findings as well.
    </pre>
  </blockquote>
  <pre wrap=""><!---->
Tell me where you'd like it, looking at the existing structure, a  
logical place doesn't pop out at me.
  </pre>
</blockquote>
<br>
till, chasd<br>
<br>
To the wiki, and to better understading of the problem I recommend this<br>
blog post:<br>
<a class="moz-txt-link-freetext"
 href="http://gaarai.com/2009/02/14/generating-mime-type-in-php-is-not-magic/">http://gaarai.com/2009/02/14/generating-mime-type-in-php-is-not-magic/</a><br>
<br>
The guy is still working on it, I gave hime some hints, and will give
more<br>
after I experiment with the info on fileinfo provided by chasd. (Hey
man, how do<br>
you know that? I couldn't find that info in any documentation!)<br>
<br>
I mentioned a patch:<br>
<a class="moz-txt-link-freetext" href="http://trac.roundcube.net/attachment/ticket/1485311/mime-detect.patch">http://trac.roundcube.net/attachment/ticket/1485311/mime-detect.patch</a><br>
this was the base, but in the meantime I started using Trac more
extensively, so:<br>
<br>
The same proposal I made, and description of problem:<br>
<a class="moz-txt-link-freetext" href="http://trac.roundcube.net/ticket/1485311">http://trac.roundcube.net/ticket/1485311</a><br>
<br>
And the resolution by thomasb<br>
<a class="moz-txt-link-freetext" href="http://trac.roundcube.net/changeset/2313">http://trac.roundcube.net/changeset/2313</a><br>
with a hard-coded map, they way I was thinking.<br>
<br>
So as I said I'll start digging deeper and experimenting with fileinfo,<br>
to get the best solution we can.<br>
<br>
<br>
chasd, you wrote<br>
"Hmmm, that made my security radar do a beep. Trusting user input isn't
always safe."<br>
"First, trusting the mime-type from the client is very dangerous.
"<br>
<br>
<br>
But guys, the security part of this is out of the scope of RC I think...<br>
If the user sends something bogus by playing with the extension, who
cares?<br>
There are so many ways to do that without RC. Okay, we should try
helping<br>
SPAM and VIRUS filters, but this is their task IMHO.<br>
<br>
<br>
Balazs<br>
<br>
<br>
<br>
</body>
</html>