У кого-нибудь уже был опыт установки Discourse за nginx/Apache с ModSecurity и CRS v3?Есть ли известный список правил, которые нужно отключить или изменить для Discourse?На данный момент мы отключили около 11 правил, и я думаю, что это ещё не всё.
Зачем вам это нужно?
Discourse — это проект с открытым исходным кодом, и активность вокруг него значительно выше, чем вокруг ModSecurity. Это звучит как полезное решение, когда речь идет о защите какого-то закрытого веб-приложения.
Я обещаю вам, что всё это закончится очень плохо для всех участников. Это не хорошая идея.
Получается, вы утверждаете, что внедрение WAF создаст только новые проблемы, а в Discourse нет никаких уязвимостей?
Никто не может с полной уверенностью гарантировать, что его программное обеспечение не содержит уязвимостей. Однако мы оперативно и ответственно исправляем проблемы безопасности при их сообщении и имеем программу вознаграждения за обнаружение ошибок.
Тем не менее, ModSecurity не является решением. Если вы решите использовать его, вам будет очень трудно.
Спасибо за ответы. Мы рассмотрим возможность отключения ModSecurity.