VULN-DISCLOSURE-POLICY: escape sequences are not a security flaw

author Daniel Stenberg <daniel@haxx.se>

Mon, 6 Nov 2023 07:39:29 +0000 (08:39 +0100)

committer Daniel Stenberg <daniel@haxx.se>

Mon, 6 Nov 2023 11:51:00 +0000 (12:51 +0100)
author Daniel Stenberg <daniel@haxx.se>
Mon, 6 Nov 2023 07:39:29 +0000 (08:39 +0100)
committer Daniel Stenberg <daniel@haxx.se>
Mon, 6 Nov 2023 11:51:00 +0000 (12:51 +0100)
diff --git a/docs/VULN-DISCLOSURE-POLICY.md b/docs/VULN-DISCLOSURE-POLICY.md

index 3ce22032912c85c855584bef4c823f97a100f648..631e6a6151e2d68d1477dd387c10a506a1a3fff6 100644 (file)
--- a/docs/VULN-DISCLOSURE-POLICY.md
+++ b/docs/VULN-DISCLOSURE-POLICY.md
@@ -283,3 +283,12 @@ and if an attacker can trick the user to run a specifically crafted curl
  command line, all bets are off. Such an attacker can just as well have the
  user run a much worse command that can do something fatal (like
  `sudo rm -rf /`).
+
+## Terminal output and escape sequences
+
+Content that is transferred from a server and gets displayed in a terminal by
+curl may contain escape sequences or use other tricks to fool the user. This
+is curl working as designed and is not a curl security problem. Escape
+sequences, moving cursor, changing color etc, is also frequently used for
+good. To reduce the risk of getting fooled, save files and browse them after
+download using a display method that minimizes risks.
author	Daniel Stenberg <daniel@haxx.se>
	Mon, 6 Nov 2023 07:39:29 +0000 (08:39 +0100)
committer	Daniel Stenberg <daniel@haxx.se>
	Mon, 6 Nov 2023 11:51:00 +0000 (12:51 +0100)