Links para mídia quebram na cópia ou citação quando "mídia segura" está ativada

Alon1 · Outubro 16, 2020, 2:41pm

Passos para reproduzir:

Ative a mídia segura
Crie um novo tópico e arraste uma mídia (um arquivo PDF serve)
Responda ao seu próprio tópico com uma cópia e cola da mídia (ou apenas cite a si mesmo)

Agora você pode observar que clicar no anexo de mídia original funciona bem, mas clicar no link da mídia citada/copiada (mesmo sendo o mesmo link exato) leva a uma página de erro:

Suspeito que possa ter a ver com a tag referrer, pois essa é a única diferença.

sam · Outubro 19, 2020, 2:15am

Não tenho certeza se este é um caso de uso permitido. Mídia segura significa que a mídia está fortemente associada a um post, e isso depende de uma associação mais solta.

@martin pode confirmar no final desta semana.

Alon1 · Outubro 19, 2020, 4:10am

Obrigado pela sua resposta!

Se a intenção é que a mídia esteja associada ao post, então há um “bug” muito maior, porque, como funciona atualmente, você pode copiar a URL da mídia (que se parece com isto: https://www.my.domain/secure-media-uploads/original/1X/db86496651c78aa64adbe43b2907654555002.pdf) e simplesmente compartilhá-la com qualquer pessoa que esteja logada no Discourse. Essa pessoa pode colá-la na barra de endereços do navegador (mesmo sem abrir o Discourse) e baixar o arquivo.

sam · Outubro 19, 2020, 4:13am

Esse recurso funciona apenas com o S3 e não está claro se ele está habilitado ou não.

Alon1 · Outubro 19, 2020, 4:13am

Sim, o S3 está habilitado. Caso contrário, eu não poderia usar o “Secure Media”.

sam · Outubro 19, 2020, 4:15am

Bem, recomendo que você teste isso com muito mais cuidado. Publique uma imagem em uma mensagem privada e observe como usuários finais sem acesso à mensagem privada não terão acesso.

Se usuários logados tiverem acesso à postagem com o PDF, eles poderão baixá-lo.

Alon1 · Outubro 19, 2020, 4:16am

Ah, esse é um bom ponto. Vou testar imediatamente.

EDIT: Ok, desculpe, você está certo, apenas usuários com acesso ao post podem baixar a mídia. Ainda assim, não é limitado a clicar realmente no link do post, então, dado que o link foi copiado e o usuário tem acesso à mídia original, ainda acho que deveria permitir o download sem forçar o usuário a copiar e colar a URL na barra de endereços dele.

martin · Outubro 19, 2020, 11:20pm

Vou tentar dar uma olhada nisso para você esta semana. Obrigado pelo relatório.

martin · Novembro 25, 2020, 4:48am

Desculpe pelo atraso, isso foi corrigido em FIX: Add secure media url to SERVER_SIDE_ONLY list by martin-brennan · Pull Request #11348 · discourse/discourse · GitHub

Tópico		Respostas	Visualizações
Cannot download exported reports when secure media is enabled Bug	13	508	20 de Março de 2022
Lock Downloads in discourse Support	2	682	28 de Setembro de 2020
Download links for .txt (and .yaml) attachments show raw text instead of dowload Support	1	30	10 de Abril de 2026
Secure Uploads Announcements secure-uploads	46	17174	24 de Julho de 2025
When uploading a secure media file without extension name - they are inaccessible Bug	4	660	8 de Dezembro de 2020

Links para mídia quebram na cópia ou citação quando "mídia segura" está ativada

Tópicos relacionados