Estou realmente preocupado que alguém possa fazer upload malicioso de arquivos e encher meu bucket S3. Seria ótimo se houvesse uma configuração para limitar o número de uploads ou o tamanho total do arquivo por usuário por dia.
Para responder diretamente ao título do seu tópico,
Como é um componente de tema, ele pode ser contornado por usuários, especialmente se eles puderem ativar o modo de segurança. É uma limitação “leve”, por assim dizer.
Ele também não suporta grupos, mas isso poderia ser solicitado como uma solicitação de #recurso 
2 curtidas
| ||
|—|—|\n|Tamanho máximo da imagem KB |O tamanho máximo de upload de imagem. Isso deve ser configurado no nginx (client_max_body_size) / apache ou proxy também. Imagens maiores que isso e menores que client_max_body_size serão redimensionadas para caber no upload.|\n|Tamanho máximo do anexo KB |O tamanho máximo de upload de arquivos de anexo. Isso deve ser configurado no nginx (client_max_body_size) / apache ou proxy também.|\n\n\n\nparams:\n ## Qual revisão do Git este contêiner deve usar? (padrão: tests-passed)\n version: tests-passed\n ## Tamanho máximo de upload (padrão: 10m)\n upload_size: 20m\n\nQuero saber se posso limitar o número de tentativas de upload ou o tamanho total do arquivo por usuário por dia através desse método?
Quero bloquear usuários maliciosos, sabe, mas o componente que você recomendou só consegue bloquear usuários comuns. 
Não é possível definir tal limitação sem criar um plugin personalizado.
Você suspeita que isso já aconteceu? Você notou um aumento repentino no espaço usado de uploads?
Se não, o que faz você pensar que tal exploração poderia acontecer?
1 curtida
Talvez ajude descrever seu problema de forma mais específica. Quais extensões de arquivo são permitidas em seu fórum (configuração do site Extensões autorizadas)? Por padrão, apenas imagens são permitidas. Em seguida, exigir aprovação para postagens contendo imagens de usuários com um baixo nível de confiança pode ajudar (Pular grupos de mídia de revisão).
Você também pode identificar tais usuários no relatório “Principais uploads” na área de administração.
1 curtida
No momento não há nenhum, talvez eu esteja sendo muito pessimista. No entanto, como você mencionou, mesmo que seja um plugin, ele pode ser desativado através do modo de segurança. Parece que a única maneira de evitar isso é através das configurações do servidor ou do bucket S3.
Obrigado pelo seu conselho. No entanto, se for um usuário mal-intencionado, ele pode disfarçar outros arquivos como formatos de imagem? E como não há restrições quanto ao número ou tamanho total das imagens, eles ainda podem fazer upload de imagens sem limite? Além disso, ainda não entendi se os arquivos ocuparão meu bucket S3 se eles fizerem o upload com sucesso, mas não publicarem um tópico.
Apenas a funcionalidade front-end dos plugins é desativada no modo de segurança. As limitações do back-end permanecem.
Você também pode desativar o modo de segurança para usuários.
2 curtidas
Você pode imaginar milhares de maneiras de interromper qualquer software no qual você possa adicionar dados, então eu não me preocuparia com esse problema imaginário e focaria minha atenção em outras coisas 
2 curtidas
Aqui está alguma documentação a respeito.
3 curtidas
Você também pode tentar remover trust_level_0 da configuração do site Embedded media post allowed groups e adicioná-la a outro grupo de nível de confiança. Embora eu ainda tenha conseguido fazer o upload da minha imagem, não consegui publicá-la com meu usuário de teste.
1 curtida
Talvez você esteja certo. Não devo deixar que muitas preocupações me impeçam de agir. Sou perfeccionista, e muitas preocupações sempre me desanimam facilmente.
2 curtidas
Eu acho que vou usar esse recurso, embora eu realmente não queira criar muitos obstáculos para usuários normais. Eu só não quero ser manipulado ou aproveitado por um número muito pequeno de usuários mal-intencionados.
Se entendi corretamente, funciona como eu pensava: o upload ocupará espaço no bucket S3, o que realmente me preocupa. Embora exista um recurso de limpeza automática que funciona bem em circunstâncias normais, usuários mal-intencionados podem facilmente contornar as restrições de postagem e continuar a fazer upload de arquivos.
Em relação ao modo de segurança.