1

最近、兄から mod_security を使うように勧められました。私はそれが何であるか、そしてそれが何をするのかを研究しましたが、私はそれを使うべきかどうかを決めるのに非常に不安を感じています. これが、私がそれを使用しないようにしているものです。

  • ウェブサイトのパフォーマンスにわずかに影響します。ルールが多いほど遅くなります。
  • すべての攻撃を完全にフィルタリングするわけではありません (ソフトウェアですべてを真に保護することは不可能であるため、理解できます)。
  • 場合によっては、罪のないユーザーをブロックすることがあります。
  • 別のソフトウェアを追加するということは、それを維持する別の責任を追加することを意味します。

本当の問題は次のとおりです。

  • mod_security がすべてをフィルタリングすることはできず、Web アプリケーションが安全であることを確認する必要がある場合は、Web アプリケーション ファイアウォールを実行せずに、安全な Web アプリケーションを適切に作成してみませんか?

  • これは私たちの Web アプリケーションであるため、どのサードパーティ製ソフトウェアよりも、ユーザーからの入力を期待していることをよく知っています。サードパーティのソフトウェアで攻撃を検出し、Web アプリケーションに入力検証を書き込むことは、二重チェックのようなものです (それは良いことですが、パフォーマンス コストも 2 倍になります)。

4

1 に答える 1

1

セキュリティに関心のある開発者によって作成されたカスタム アプリケーションがあるというあなたが説明したシナリオでは、WAF が侵入防止システムとして無意味な価値を提供することに同意します。

WAF が未知の Web アプリを自動的に提供するのに効果的であるという考えは、最悪の業界のマーケティング スピンです。アプリケーションに合わせて入念に構成しないと、パフォーマンスが非常に低下します (*)。そのためのリソースを備えた別のセキュリティ チームがない限り、通常は、リソースを安全な開発に費やす方が実際に優れています。

(*: 与えられた保護と偽陽性による時間とカスタムの損失のように; mod_security のコア ルールは IMO で特に厄介です。)

一方、WAF は便利です。

  • 特定の既知の脆弱性を持つレガシーおよびサードパーティのアプリケーションを修正または交換できるようになるまで保護できるようにするための一時的な回避策として;

  • 侵入検知システムとして構成され、ブロックするのではなくアラートを生成し、フォローアップして潜在的に攻撃元をブロックするための運用リソースがあります。

于 2013-07-13T12:18:58.247 に答える