Как запретить TL1 или другим группам прикреплять файлы к темам?

На самом деле я беспокоюсь, что кто-то может злонамеренно загружать файлы и заполнить мой бакет S3. Было бы здорово, если бы существовала настройка для ограничения количества загрузок или общего размера файлов на пользователя в день.

Чтобы прямо ответить на заголовок вашей темы,

Поскольку это компонент темы, его можно обойти пользователям, особенно если они могут включить безопасный режим. Это своего рода «мягкое» ограничение.

Также он не поддерживает группы, но это можно предложить как запрос на добавление новой функции

params:
  ## Какую ревизию Git должен использовать этот контейнер? (по умолчанию: tests-passed)
  version: tests-passed
  ## Максимальный размер загрузки (по умолчанию: 10m)
  upload_size: 20m

Хочу узнать, можно ли ограничить количество попыток загрузки или общий размер файлов на пользователя в день с помощью этого метода?

Я хочу заблокировать злоумышленников, понимаете, но компонент, который вы рекомендовали, может блокировать только обычных пользователей.

Установить такое ограничение невозможно без создания собственного плагина.

Вы подозреваете, что это уже произошло? Заметили ли вы резкий рост занимаемого места из-за загрузок?

Если нет, что заставляет вас полагать, что такая уязвимость может быть использована?

Возможно, вам поможет более детальное описание вашей проблемы. Какие расширения файлов разрешены на вашем форуме (настройка сайта «Разрешенные расширения»)? По умолчанию разрешены только изображения. Затем может помочь требование одобрения для сообщений с изображениями от пользователей с низким уровнем доверия (настройка «Пропускать проверку медиа для групп»).

Вы также можете найти таких пользователей в отчете «Лучшие загрузки» в панели администратора.

В данный момент ничего нет, возможно, я слишком пессимистичен. Однако, как вы отметили, даже если это плагин, его можно отключить в безопасном режиме. Похоже, единственный способ предотвратить это — через настройки сервера или S3-бакета.

Спасибо за ваш совет. Однако, если это злонамеренный пользователь, может ли он замаскировать другие файлы под форматы изображений? И поскольку нет ограничений на количество или общий размер изображений, могут ли они загружать изображения без ограничений? Также я до сих пор не понимаю, будут ли файлы занимать место в моём S3-бакете, если они успешно загрузятся, но не опубликуют тему.

В безопасном режиме отключается только функциональность плагинов на стороне фронтенда. Ограничения на стороне бэкенда сохраняются.

Вы также можете отключить безопасный режим для пользователей.

Можно представить тысячи способов нарушения работы любого программного обеспечения, в которое можно добавлять данные, поэтому я бы не стал беспокоиться об этой вымышленной проблеме и сосредоточил бы внимание на других вещах

Вот документация по этому вопросу.

Вы также можете попробовать удалить trust_level_0 из настройки сайта «Разрешённые группы для вложений медиафайлов» и добавить его в группу с другим уровнем доверия. Хотя я всё ещё мог загрузить изображение, я не смог опубликовать его с помощью тестового пользователя.

Возможно, вы правы. Мне не стоит позволять излишним сомнениям мешать мне действовать. Я перфекционист, и чрезмерные переживания часто заставляют меня быстро терять мотивацию.

Я думаю, что воспользуюсь этой функцией, даже если не хочу создавать слишком много препятствий для обычных пользователей. Мне просто не хочется, чтобы мной манипулировали или пользовались мои добротой из-за очень небольшого числа злонамеренных пользователей.

Если я правильно понял, всё работает именно так, как я предполагал: загрузка занимает место в бакете S3, что меня очень беспокоит. Хотя существует функция автоматической очистки, которая хорошо работает в обычных условиях, злоумышленники могут легко обойти ограничения на публикацию и продолжать загружать файлы.

Касательно безопасного режима.