Quelqu’un a-t-il installé Discourse derrière nginx/Apache avec ModSecurity et CRS v3 ?
Existe-t-il une liste connue de règles à désactiver ou à modifier pour Discourse ?
Pour l’instant, nous avons désactivé environ 11 règles, mais je pense que ce n’est pas la fin.
Pourquoi utiliser cela ?
Discourse est open source et bénéficie d’une activité bien supérieure à celle de ModSecurity, ce qui semble être un atout lorsqu’il est placé devant un logiciel web de type boîte noire.
Je vous promets que cela finira très mal pour tous les concernés. Ce n’est pas une bonne idée.
Alors vous me dites que l’introduction d’un WAF ne fera que créer de nouveaux problèmes et que Discourse ne contient aucune vulnérabilité ?
Personne ne peut affirmer avec une entière certitude que son logiciel ne contient aucune vulnérabilité. Cependant, nous corrigeons rapidement et de manière responsable les problèmes de sécurité signalés, et nous disposons d’un programme de prime aux bogues.
Cela dit, ModSecurity n’est pas la solution. Vous aurez beaucoup de mal si vous choisissez cette voie.
Merci pour vos réponses. Nous envisagerons de désactiver ModSecurity.