Me preocupa que alguien pueda subir archivos maliciosamente y llenar mi bucket S3. Sería genial si hubiera una configuración para limitar el número de subidas o el tamaño total de los archivos por usuario por día.
Para responder directamente al título de tu tema,
Dado que es un componente temático, puede ser eludido por los usuarios, especialmente si pueden habilitar el modo seguro. Es una limitación “suave”, por así decirlo.
Tampoco admite grupos, pero eso podría solicitarse como una solicitud de #característica 
2 Me gusta
| ||
|—|—|\n|Tamaño máximo de imagen KB |El tamaño máximo de carga de imagen. Esto debe configurarse en nginx (client_max_body_size) / apache o proxy también. Las imágenes más grandes que esto y más pequeñas que client_max_body_size se redimensionarán para que quepan en la carga.|\n|Tamaño máximo de archivo adjunto KB |El tamaño máximo de carga de archivos adjuntos. Esto debe configurarse en nginx (client_max_body_size) / apache o proxy también.|\n\n\n\nparams:\n ## ¿Qué revisión de Git debe usar este contenedor? (predeterminado: tests-passed)\n version: tests-passed\n ## Tamaño máximo de carga (predeterminado: 10m)\n upload_size: 20m\n\n¿Quiero saber si puedo limitar el número de intentos de carga o el tamaño total del archivo por usuario por día a través de ese método?
Quiero bloquear usuarios maliciosos, ya sabes, pero el componente que recomendaste solo puede bloquear usuarios normales. 
No es posible establecer tal limitación sin crear un plugin personalizado.
¿Sospechas que ya sucedió? ¿Notaste un aumento repentino en el espacio utilizado de las cargas?
Si no, ¿qué te hace pensar que podría ocurrir tal exploit?
1 me gusta
Quizás ayude si describe su problema de forma más específica. ¿Qué extensiones de archivo están permitidas en su foro (configuración del sitio Extensiones autorizadas)? Por defecto, solo se permiten imágenes. Entonces, requerir aprobación para las publicaciones que contengan imágenes de usuarios con un nivel de confianza bajo podría ayudar (Omitir grupos de medios de revisión).
También puede identificar a dichos usuarios en el informe “Cargas principales” en el área de administración.
1 me gusta
Por el momento no hay ninguno, quizás estoy siendo demasiado pesimista. Sin embargo, como mencionaste, incluso si es un plugin, se puede deshabilitar a través del modo seguro. Parece que la única forma de evitarlo es a través de la configuración del servidor o del bucket de S3.
Gracias por tu consejo. Sin embargo, si se trata de un usuario malintencionado, ¿pueden disfrazar otros archivos como formatos de imagen? Y dado que no hay restricciones en cuanto al número o tamaño total de las imágenes, ¿pueden seguir subiendo imágenes sin límite? Además, todavía no entiendo si los archivos ocuparán mi bucket de S3 si se suben correctamente pero no publican un tema.
Solo la funcionalidad front-end de los plugins se deshabilita en modo seguro. Las limitaciones del backend permanecen.
También puedes deshabilitar el modo seguro para los usuarios.
2 Me gusta
Puedes imaginar miles de formas de interrumpir cualquier software en el que puedas agregar datos, así que no te preocupes por este problema imaginario y enfoca tu atención en otras cosas 
2 Me gusta
Aquí tienes algo de documentación al respecto.
3 Me gusta
También puedes intentar eliminar trust_level_0 de la configuración del sitio Embedded media post allowed groups y añadirla a otro grupo de nivel de confianza. Aunque todavía pude subir mi imagen, no pude publicarla con mi usuario de prueba.
1 me gusta
Tal vez tengas razón. No debería dejar que demasiadas preocupaciones me impidan actuar. Soy una perfeccionista, y demasiadas preocupaciones siempre me desaniman fácilmente.
2 Me gusta
Creo que usaré esta función, aunque realmente no quiero crear demasiados obstáculos para los usuarios normales. Simplemente no quiero que un número muy pequeño de usuarios malintencionados jueguen conmigo o se aprovechen de mí.
Si entiendo correctamente, funciona como pensaba: la carga ocupará espacio en el bucket S3, lo que realmente me preocupa. Si bien existe una función de limpieza automática que funciona bien en circunstancias normales, los usuarios malintencionados pueden eludir fácilmente las restricciones de publicación y seguir cargando archivos.
Con respecto al modo seguro.