À ce que je vois, les fichiers HTML téléchargés sont simplement enregistrés comme des fichiers normaux (par exemple, des archives ou des PDF). Il dépend donc de l’utilisateur et des paramètres du navigateur (ouvrir automatiquement après le téléchargement, etc.) de les ouvrir ou non.
Cependant, ce sujet évoque quelque chose concernant une faille XSS…
À ma connaissance, il n’est pas possible d’interagir avec la page Discourse à partir du fichier téléchargé.
Le pire scénario serait donc qu’il affiche un contenu de type hameçonnage.
Pour exactement la même raison pour laquelle vous ne voudriez pas voir d’ liens de hameçonnage apparaître dans une communauté ?
Discourse n’est pas un système de messagerie directe ni un service de stockage de fichiers. Pourquoi l’utiliser uniquement pour faciliter le téléchargement de fichiers HTML ? Le code serait sûrement mieux hébergé sur une plateforme comme GitHub ?
Parfois, il est plus pratique de simplement télécharger un fichier HTML illustrant un problème simple, etc. Si ce n’est qu’un seul fichier, le placer dans une archive ZIP ne fait qu’ajouter des difficultés inutiles.
Le forum s’adresse principalement aux développeurs, il est donc raisonnable de supposer qu’ils savent ce qu’ils font lorsqu’ils ouvrent le fichier téléchargé, qu’ils reconnaîtront les tentatives de hameçonnage, n’entreront aucun mot de passe, le signaleront rapidement, etc.
La seule préoccupation est donc de savoir s’il est possible d’exploiter des vulnérabilités, des failles XSS, etc., lors du téléchargement de fichiers HTML (par rapport aux archives ZIP contenant des fichiers HTML).
Par préférence personnelle, je préfère ne pas avoir à télécharger de fichiers du tout. Je préférerais voir le code directement dans le message. Ma question est donc la suivante…
Y a-t-il une raison pour laquelle le HTML n’est pas ajouté directement dans les messages sous forme de bloc de code ?
<section>
<h1>Introduction</h1>
<p>Les gens pêchent pour se nourrir depuis avant l'histoire enregistrée…</p>
</section>
<section>
<h1>Équipement</h1>
<p>La première chose dont vous aurez besoin est une canne à pêche que vous trouvez confortable et qui est assez solide pour le type de poisson que vous attendez de pêcher…</p>
</section>
...
De cette façon, il sera visible immédiatement, ne nécessitera aucun téléchargement de fichiers et n’occupera pas beaucoup d’espace dans le message, car nous imposons des barres de défilement pour les blocs de code au-delà d’une certaine hauteur. De plus, il n’y a aucun risque de sécurité, car le code ne sera pas analysé.
Je peux développer cette idée si cette solution vous convient.
Oui, je suis d’accord que c’est généralement mieux de le faire ainsi, mais parfois les gens préfèrent encore joindre des fichiers, par exemple quand le fichier est trop volumineux, ou quand ils veulent montrer un problème visuel (c’est plus facile que de copier-coller dans un nouveau fichier, etc.).
