هل قام شخص ما بتثبيت Discourse خلف nginx/Apache مع ModSecurity و CRS v3؟
هل توجد قائمة معروفة بالقواعد التي يجب تعطيلها أو تعديلها لـ Discourse؟
حتى الآن قمنا بتعطيل حوالي 11 قاعدة، وأعتقد أن هذا ليس النهاية.
لماذا ستستخدم ذلك؟
Discourse مفتوح المصدر ولديه نشاط أكبر بكثير من ModSecurity، وهو ما يبدو مفيدًا عند استخدامه كواجهة أمامية لبرمجيات ويب صندوق أسود.
أعدك بأن هذا سينتهي بشكل سيء للغاية لكل المعنيين. إنها ليست فكرة جيدة.
إذن، أنت تقول لي أن إدخال جدار حماية للتطبيقات (WAF) سيخلق فقط مشاكل جديدة وأن Discourse لا يحتوي على أي ثغرات أمنية؟
لا يمكن لأحد أن يعد بثقة تامة بأن برمجياته خالية من الثغرات الأمنية. ومع ذلك، نقوم بإصلاح مشكلات الأمان بسرعة ومسؤولية عند الإبلاغ عنها، ولدينا برنامج مكافآت على الأخطاء.
ومع ذلك، فإن ModSecurity ليس هو الحل. ستواجه صعوبة بالغة إذا اخترت القيام بذلك.
شكرًا لكم على الإجابات. سننظر في إزالة ModSecurity.