Alguém instalou o Discourse atrás do nginx/Apache com o ModSecurity e o CRS v3?
Existe alguma lista conhecida de regras a serem desabilitadas ou modificadas para o Discourse?
Por enquanto, desabilitamos cerca de 11 regras e acho que isso não é o fim.
Por que você usaria isso?
O Discourse é de código aberto e tem muito mais atividade do que o ModSecurity, o que parece algo útil ao colocar na frente de algum software web de caixa preta.
Eu prometo que isso vai acabar muito mal para todos os envolvidos. Não é uma boa ideia.
Então você está me dizendo que introduzir um WAF apenas criará novos problemas e que o Discourse não contém nenhuma vulnerabilidade?
Ninguém pode prometer com total confiança que seu software não contém vulnerabilidades. No entanto, corrigimos problemas de segurança de forma rápida e responsável quando são relatados e contamos com um programa de recompensa por bugs.
Dito isso, o ModSecurity não é a solução. Você terá muita dificuldade se decidir seguir por esse caminho.
Obrigado pelas respostas. Vamos considerar a remoção do ModSecurity.