Nemoznost podpisat cez API prilohu, ktora nema filename

[jsuchal]

Cez API sa neda podpisat subor ak sa neposle filename (zhavaruje to). Kedze:

public void saveToFile(Document document) {
        try {
            if (!(fileExists(savedDocument))) {
                var prefix = Files.getNameWithoutExtension(document.getFilename());
                var suffix = "." + Files.getFileExtension(document.getFilename());

                savedDocument = File.createTempFile(prefix, suffix);
                savedDocument.setExecutable(true, false);
                Files.write(document.getContent(), savedDocument);
            }
            savedDocument.deleteOnExit();

        } catch (IOException e) {
            throw new RuntimeException(e);
        }
    }

document.getFilename je null a na getNameWithuoExtension to padne.

Toto treba cele domysliet, ze ako sa bude detekovat typ suboru, ktory je potrebny pre vizualizaciu a co vlastne dovolime vizualizovat (resp zobrazit otvorenim). Mozu to byt podvhnute subory co otvara nove vektory utoku. Ktovie co sa stane, ked podvrhnem png alebo nieco a vo vnutri bude nieco uplne ine. Zatial riesene whitelistingom, ale neviem ci to je nepriestrelne.

PS. Taktiez sa mi tam dost nepaci ten setExecutable, kedze moze ist o podvrhnuty subor.

[jsuchal]

Takto posiela napriklad PNG extension (bez filename) a teda to nevieme podpisat. @pomali filename sa neda posielat - resp nejaky mimetype alebo nieco sa tam neposiela standardne?

[celuchmarek]

@jsuchal dnes sa už dá aj ASiCom podpísať aj súbor bez názvu (default mu to dá detached-file). A payloadMimeType je povinný a obrázok sa už vie normálne zobraziť.

Tento kód robí aj nejaký saveToFile, čo je asi niečo staré. Zavrel by som.