Hat jemand Discourse bereits hinter nginx/Apache mit ModSecurity und CRS v3 installiert?
Gibt es eine bekannte Liste von Regeln, die für Discourse deaktiviert oder angepasst werden müssen?
Bisher haben wir etwa 11 Regeln deaktiviert, und ich denke, das ist noch nicht das Ende.
Warum würdest du das verwenden?
Discourse ist Open Source und deutlich aktiver als ModSecurity, was nützlich klingt, wenn man es vor eine Black-Box-Websoftware stellt.
Ich verspreche dir, das wird für alle Beteiligten sehr schlecht enden. Es ist kein guter Gedanke.
Willst du mir also sagen, dass die Einführung einer WAF nur neue Probleme schafft und Discourse keine Sicherheitslücken enthält?
Niemand kann mit voller Sicherheit versprechen, dass seine Software keine Schwachstellen enthält. Wir beheben Sicherheitsprobleme jedoch umgehend und verantwortungsvoll, sobald sie gemeldet werden, und bieten ein Bug-Bounty-Programm an.
Das heißt aber auch: ModSecurity ist keine Lösung. Wenn Sie sich dafür entscheiden, werden Sie es sehr schwer haben.
Vielen Dank für die Antworten. Wir werden in Erwägung ziehen, ModSecurity zu entfernen.