nginx/Apache の背後に ModSecurity と CRS v3 を使用して Discourse を導入した方はいますか?
Discourse 向けに無効化または変更すべき既知のルール一覧はありますか?
現在、約 11 件のルールを無効化していますが、これで終わりではないと考えています。
なぜそれを使うのですか?
Discourseはオープンソースであり、ModSecurityよりもはるかに活発に開発されています。ブラックボックスのWebソフトウェアの前面に配置する場合、これは非常に有用に思えます。
皆さんに関わるこのことが、非常に悪い結果に終わることをお約束します。これは決して良い考えではありません。
つまり、WAF の導入は新たな問題を生むだけで、Discourse には脆弱性がないと言っているのですか?
ソフトウェアに脆弱性が含まれていないことを、誰しもが全幅の信頼を持って約束することはできません。ただし、当社は報告されたセキュリティ上の問題については、迅速かつ責任ある対応でパッチを適用し、バグバウンティプログラムも実施しています。
とはいえ、ModSecurity が解決策となるわけではありません。これを選ぼうとすれば、非常に困難な状況に直面することになるでしょう。
ご回答ありがとうございます。ModSecurityの削除を検討いたします。