ModSecurity 例外

szogoon · 2019 年8 月 7 日 13:33

有人将 Discourse 部署在带有 ModSecurity 和 CRS v3 的 nginx/Apache 后面吗？
是否有已知的需要禁用或修改的规则列表？
目前我们已禁用了约 11 条规则，但这应该不是最终结果。

Falco · 2019 年8 月 7 日 15:02

你为什么要使用那个？

Discourse 是开源的，并且比 ModSecurity 拥有更多的活跃度，当将其置于某些黑盒 Web 软件前端时，这听起来非常有用。

codinghorror · 2019 年8 月 8 日 04:26

我向你保证，这对所有相关方来说都会以非常糟糕的结局收场。这绝不是个好主意。

szogoon · 2019 年8 月 8 日 07:29

所以你的意思是，引入 WAF 只会带来新的麻烦，而 Discourse 本身没有任何漏洞？

eviltrout · 2019 年8 月 8 日 18:25

没有人能满怀信心地保证他们的软件不包含漏洞。不过，我们确实会在收到报告后迅速且负责任地修复安全问题，并设有漏洞赏金计划。

话虽如此，ModSecurity 并不是解决方案。如果您选择这样做，将会面临极大的困难。

szogoon · 2019 年8 月 8 日 20:22

感谢您的回复。我们将考虑移除 ModSecurity。

话题		回复	浏览量
Discourse + Web Application Firewall (WAF) mod_security Self-hosting unsupported-install , hosting	8	3623	2019 年11 月 20 日
How to run Discourse in Apache vhost, not Nginx Self-hosting unsupported-install	30	2439	2023 年8 月 14 日
Akamai WAF configuration and false positive Support	2	162	2025 年3 月 31 日
Cloudflare Security WAF (Web Application Firewall) + Discourse? Support	1	470	2025 年6 月 25 日
How secure is Discourse? Support	11	5891	2019 年5 月 15 日