Umgehung des 3-Antworten-Limits

MRobertson_NC · 3. Dezember 2023 um 16:32

Zunächst einmal Entschuldigung, falls dies bereits woanders behandelt wird. Ich habe die Kategorie durchsucht und keine Erwähnung gesehen, aber es möglicherweise übersehen, wenn es anders formuliert war.

Benutzer auf einem Board, das ich moderiere, haben uns auf einen Fehler aufmerksam gemacht. Sie können das 3-Antworten-Limit umgehen, indem sie Beiträge löschen und wiederherstellen. Schritte zur Reproduktion:

Machen Sie 3 aufeinanderfolgende Beiträge.
Löschen Sie den 3. Beitrag und fügen Sie einen 4. hinzu.
Stellen Sie den 3. Beitrag wieder her.

Dies kann beliebig oft wiederholt werden, solange nur 3 Beiträge aktiv sind, bevor die gelöschten Beiträge wiederhergestellt werden. Zum Beispiel können mit den Beiträgen 1, 2 und 15 die gelöschten Beiträge 3 bis 14 wiederhergestellt werden.

Stephen · 3. Dezember 2023 um 16:41

Das Dreier-Antwort-Limit ist mehr eine Leitplanke als alles andere.

Es mag hier ein besseres Verhalten geben, aber wenn Ihre Benutzer dies tun, um diese Art von Funktionen absichtlich zu umgehen, ist es absolut angemessen, eine Warnung auszusprechen oder ihre Teilnahme sogar vorübergehend auszusetzen.

Es gibt auch Möglichkeiten, das Mindest-Post-Limit zu umgehen – ich rate Kunden normalerweise, dass sie bei Missbrauch dieser Lücken zuerst eine Warnung und dann eine Auszeit erhalten.

MRobertson_NC · 3. Dezember 2023 um 16:45

Vielen Dank für Ihre Antwort. Es ist kein Problem aufgetreten und meines Wissens hat es niemand im Vorstand ausgenutzt, aber ich dachte, es sei am besten, die Entwickler zu informieren, falls es bisher ungemeldet und behebbar war.

ETA: Leiter/Moderatoren – Sie können dieses Thema nach eigenem Ermessen aus der Liste entfernen, damit der Exploit nicht leicht durchsuchbar ist.

sam · 3. Dezember 2023 um 23:07

Ich denke, eine andere Art von Limitierung sollte dieses Griefing angehen:

github.com/discourse/discourse

lib/validators/post_validator.rb

aba3acf4c


      
          last_posts_count =
            DB.query_single(
              <<~SQL,
            SELECT COUNT(*)
            FROM (
              SELECT user_id
                FROM posts
               WHERE deleted_at IS NULL
                 AND NOT hidden
                 AND topic_id = :topic_id
               ORDER BY post_number DESC
               LIMIT :max_replies
            ) c
            WHERE c.user_id = :user_id
          SQL
              topic_id: post.topic_id,
              user_id: post.acting_user.id,
              max_replies: SiteSetting.max_consecutive_replies,
            ).first

github.com/discourse/discourse

lib/guardian/post_guardian.rb

aba3acf4c


      
          SiteSetting.max_post_deletions_per_minute < 1 ||
            SiteSetting.max_post_deletions_per_day < 1

Sie können max_post_deletions_per_day viel niedriger einstellen. Es ist bereits auf 10 eingestellt, also kann dies nur 10 Mal passieren?

Ich stimme auch @Stephen zu, dass in diesem speziellen Fall, wenn es auftaucht, es einfach unter … ein Mitglied verhält sich missbräuchlich und wird durch ein Verbot behandelt, fallen sollte.

Wir erlauben dieses Muster im Code bewusst für extreme Ausnahmefälle.

Thema		Antworten	Aufrufe
Limit consecutive replies for topic owner? Support	9	1555	5. Januar 2019
Allowing more than 3 replies in a row Support	3	735	9. Juni 2022
No more than 3 consecutive replies? Support	3	334	1. August 2023
Post deletions rate limit per day not working Bug	6	1422	3. Juli 2018
Reply Limit Problem Support	19	1956	19. März 2021

Umgehung des 3-Antworten-Limits

Verwandte Themen