Qualcuno ha installato Discourse dietro nginx/Apache con ModSecurity e CRS v3?
Esiste un elenco noto di regole da disabilitare o modificare per Discourse?
Per ora abbiamo disabilitato circa 11 regole e penso che non sia la fine.
Perché dovresti usarlo?
Discourse è open source e ha un’attività molto maggiore rispetto a ModSecurity, il che sembra utile quando viene posto davanti a un software web black box.
Ti prometto che finirà molto male per tutti i coinvolti. Non è proprio una buona idea.
Quindi mi stai dicendo che introdurre un WAF creerĂ solo nuovi problemi e che Discourse non contiene alcuna vulnerabilitĂ ?
Nessuno può garantire con piena certezza che il proprio software non contenga vulnerabilità . Tuttavia, interveniamo tempestivamente e in modo responsabile per correggere i problemi di sicurezza quando vengono segnalati e disponiamo di un programma di bug bounty.
Detto questo, ModSecurity non è la soluzione. Avrete molte difficoltà se scegliete di adottare questo approccio.
Grazie per le risposte. Valuteremo la rimozione di ModSecurity.