Dies verhindert korrekt, dass neue Benutzer Bilder hochladen, bevor sie sie hochladen
Embedded media post allowed groups konfigurieren
Bestimmte Gruppen von der Zulassungsliste ausschließen
Wenn ein Benutzer, der nicht zu den zulässigen Gruppen gehört, ein Bild hochlädt:
Das Bild kann im Editor erscheinen
Nur beim Absenden des Beitrags wird es blockiert
Problem
Während der Bearbeitung kann der Benutzer den Link des hochgeladenen Bildes kopieren, um die Upload-Beschränkung zu umgehen und ihn zu posten
Erwartetes Verhalten
Unser Ziel ist es, Benutzer am Hochladen von Bildern zu hindern. Benutzer, die nicht zu den zulässigen Gruppen gehören, sollten überhaupt keine eingebetteten Medien in den Editor einfügen können – dies sollte das Hochladen zum Zeitpunkt des Hochladens blockieren, genau wie bei Newuser max embedded media = 0.
Andernfalls können sie den Link des hochgeladenen Bildes kopieren und die Beschränkung zum Hochladen effektiv umgehen.
Ich weiß nicht, ob dies ein neues Problem ist, aber wir haben es gerade auch bemerkt:
Es scheint, dass der Bild-Upload in den S3-Bucket (cdck-file-uploads-global.s3.dualstack.us-west-2.amazonaws.com) erfolgt, sobald das Bild eingefügt wird. Die Einbettungsprüfung erfolgt erst, wenn der Beitrag abgeschickt wird, aber zu diesem Zeitpunkt existiert das Bild bereits im Bucket und kann mit einer der folgenden Adressen verlinkt werden:
Seine S3-URL
Seine Discourse-Kurz-URL
Seine generierte upload://-URL (d.h. einfach das Entfernen des ! vom Anfang des automatisch generierten Upload-Einbettungscodes)
Ich befürchte, dass dies bedeutet, dass selbst fehlgeschlagene Einbettungen (d.h. Upload-Versuche, die anschließend abgelehnt wurden) trotzdem in den Bucket hochgeladen wurden und heimlich gegen das Speicherlimit der Seite verstoßen, selbst wenn der Uploader dachte, es sei abgelehnt worden, und niemand sonst den Upload sehen kann.
