Многие недавние посты, похоже, содержат загрузки с безопасными URL-адресами, хотя сами загрузки не помечены как безопасные. Небольшая часть этих загрузок также имеет оптимизированные изображения с неправильно установленными правами доступа (ACL). Все исходные изображения имеют правильные права доступа в S3.
3 лайка
Я запутался, не думаю, что мы корректно поддерживаем «смешанный режим» @martin?
Когда включена безопасная загрузка, всё должно быть защищено, включая публичные посты?
3 лайка
Правила следующие:
- Если включено
login_required, всё помечается как защищённое, за исключением публичных элементов, таких как логотипы сайта, эмодзи и т. п. - Если это не так, то защищёнными помечаются только загрузки в личных сообщениях или в защищённых категориях.
Мне нужно увидеть несколько примеров этого. Возможно, URL изображения был просто скопирован из другого сообщения в новое? Я раньше не наблюдал такого поведения, когда объект получал защищённый URL без того, чтобы соответствующая загрузка была помечена как защищённая.
4 лайка
Вот пример, который я нашел (насколько мне известно, ни одно из изображений не было захардкожено)
У верхнего изображения нет защищенной ссылки, но у всех остальных она есть (хотя это нивелируется публичным ACL на чтение). Я заметил, что во всех остальных затронутых постах первое изображение всегда отображается корректно, а остальные — нет (посты с одним изображением не затронуты).
1 лайк
Хорошо, я нашел еще один такой случай, хотя теперь они встречаются немного реже.
Изображения действительно помечены как защищенные в базе данных (и не были подключены напрямую), с причиной access control post dictates security | source: post creator, несмотря на то, что пост с контролем доступа является публичным и никогда не редактировался и не перемещался.
Как и в предыдущем посте выше, первое изображение в посте не было помечено как защищенное, но все остальные были.
Очень похожая ситуация происходит на другом форуме, хотя в этом случае защищен только первый загруженный файл, а остальные — нет.