¿Alguien ha instalado Discourse detrás de nginx/Apache con ModSecurity y CRS v3?
¿Existe alguna lista conocida de reglas para desactivar o modificar para Discourse?
Por ahora hemos desactivado unas 11 reglas y creo que eso no es todo.
¿Por qué usarías eso?
Discourse es de código abierto y tiene mucha más actividad que ModSecurity, lo cual suena útil cuando se coloca frente a algún software web de caja negra.
Te prometo que esto terminará muy mal para todos los involucrados. No es una buena idea.
¿Así que me estás diciendo que introducir un WAF solo creará nuevos problemas y que Discourse no contiene ninguna vulnerabilidad?
Nadie puede asegurar con total confianza que su software no contiene vulnerabilidades. Sin embargo, corregimos los problemas de seguridad de manera oportuna y responsable cuando se reportan, y contamos con un programa de recompensas por errores.
Dicho esto, ModSecurity no es la solución. Tendrás muchas dificultades si decides hacerlo.
Gracias por las respuestas. Consideraremos la eliminación de ModSecurity.