क्या mod_security एक अच्छी बात है?

मैंने हाल ही में mod_security से त्रुटिपूर्ण त्रुटि संदेशों द्वारा फ़्रीक्वेंट किया है। इसका फ़िल्टर सेट पुराने PHP कारनामों को कवर करता है, और मुझे अपना सामान फिर से लिखना होगा क्योंकि Wordpress & Co में कई साल पहले बग थे।

क्या ऐसा किसी और के साथ भी होता है?

अपाचे mod_security ब्लॉक संभवतः खतरनाक HTTP अनुरोधों को अनुप्रयोगों (PHP विशेष रूप से) तक पहुँचने से पहले। यह विभिन्न फिल्टर सेट का उपयोग करता है, ज्यादातर रेगेक्स आधारित है।

इसलिए मेरे पास एक अच्छा साझा होस्टिंग प्रदाता है, तकनीकी रूप से उपयुक्त और सामान है। लेकिन यह मुझे बुरा लगा:

अभी पिछले हफ्ते मुझे &src=अपने एक ऐप में एक पैरामीटर नाम बदलना पड़ा क्योंकि mod_security उस के साथ किसी भी अनुरोध को ब्लॉक करता है। मैंने इसके विवरण को नहीं देखा, लेकिन यह फ़िल्टर नियम किसी अन्य ऐप की शोषण क्षमता को रोक रहा था जिसका मैं उपयोग नहीं करता हूं और शायद इसके बारे में कभी नहीं सुना था। फिर भी मुझे अपने कोड को फिर से लिखना पड़ा (नाम बदलने का पैरामीटर अक्सर ट्रिक mod_security को सहन करता है) जिसका कुछ भी नहीं करना था या उसके साथ आम नहीं था!

और आज, एक मूर्खतापूर्ण रेगेक्स ब्लॉक सबमिशन बनाता है, क्योंकि मैं php नमूना कोड प्रस्तुत करना चाहता था। यह देखते हुए, यह सरल सामान है कि mod_security से बचाने के लिए है। लेकिन मुझे विश्वास नहीं है कि mod_security गंभीर रूप से बाधित कोड का पता लगा सकता है, और बस स्पष्ट रूप से बंद हो जाता है (और इस मामले में पूरी तरह से तुच्छ) php स्निपेट्स।

मूल रूप से मैं mod_security द्वारा दंडित हो रहा हूं क्योंकि अन्य लोगों ने बग-प्रोन एप्लिकेशन जारी किए हैं। (यह कहते हुए कि मेरे ऐप्स अल्ट्रा सिक्योर नहीं हैं - मैं बहुत सिक्योरिटी वरी हूं, लेकिन कोई हाइपरबोलिक दावा नहीं करता।)
मैंने पहले ही अपने प्रोवाइडर को इसे वैसे भी डिसेबल करने के लिए कहा है, लाभ बहुत कम आईयूएसओ और मेरे ऐप के लिए हैं।

तुम क्या सोचते हो? क्या WP_ होस्टिंग के बाहर mod_security बहुत मायने रखती है? या यह वास्तव में लंबे समय से पारित सुरक्षा कीड़े के ब्लैकलिस्ट का एक गुच्छा है? इसके कौन से नियम वास्तव में सहायक हैं? क्या कोई आवेदन स्तर समकक्ष है?

मैं व्यक्तिगत रूप से mod_security को एक पैच के रूप में देखता हूं। मैं अपने कुछ सर्वरों पर इसका उपयोग करता हूं जहां हम अपलोड किए गए कोड (उदाहरण के लिए साझा किए गए होस्टिंग सर्वर) को नियंत्रित नहीं कर सकते हैं, लेकिन यह वास्तव में मेरे लिए एक अच्छा समाधान की तरह कभी महसूस नहीं हुआ है। यह व्यापक और बहुत सामान्य ब्लैकलिस्ट दृष्टिकोण के आधार पर, यह एक अच्छा सुरक्षा नीति की तुलना में सुरक्षा छेद को कवर करने के लिए एक पैच के अधिक है।

यह सुरक्षा की झूठी भावना भी प्रदान कर सकता है। mod_security कुछ सामान्य हमलों को प्रकट कर सकती है लेकिन किसी भी तरह से किसी भी हमले को रोक नहीं सकती है। फिर, यह आम ज्ञात हमलों की एक काली सूची है। यदि आप बस mod_security स्थापित करते हैं और सोचते हैं कि आप जादुई रूप से सुरक्षित हैं, तो आप बहुत गलत हैं।

मुझे मेरे द्वारा प्रबंधित सर्वरों के लिए बहुत बेहतर नीति मिली है, जहाँ मेरी टीम उन सभी कोडों की समीक्षा करती है, जिन्हें बहुत सारे लॉग्स, लॉगफ़ाइल विश्लेषण, रिपोर्टिंग सिस्टम और घुसपैठ का पता लगाने / घुसपैठ रोकने वाली प्रणालियों (IPS) के साथ जोड़ा जाता है। हर बार थर्ड-पार्टी या ओपन-सोर्स सॉफ़्टवेयर स्थापित किया गया है (मैं आपको देख रहा हूँ , वर्डप्रेस!) हम एक लॉग रखते हैं कि यह कहाँ स्थापित किया गया था, और जब नए संस्करण जारी किए जाते हैं तो हम हर उस कॉपी को अपडेट करते हैं जो इंस्टॉल की गई थी।

फिर, आप साझा होस्टिंग सर्वर पर mod_security खोजने की अधिक संभावना रखते हैं, जैसा कि आप अभी अनुभव कर रहे हैं। जैसे-जैसे आप बढ़ते हैं आप VPS या क्लॉड आधारित होस्टिंग प्रदाता के पास जा सकते हैं जहाँ आपको अपना स्वयं का प्रबंधित वातावरण मिलता है और उपलब्ध सॉफ़्टवेयर को और अधिक कसकर नियंत्रित कर सकता है।

मेरी राय में, यदि आप प्रोग्रामिंग में एक नौसिखिया हैं, तो mod_security एक अच्छा विचार है, लेकिन यदि आप अपने अनुप्रयोगों को सही ढंग से लिखने के लिए समय लेते हैं और असुरक्षित कोड का उपयोग करने वाले असुरक्षित कोड को लिखने से बचते हैं, तो सीधे SQL पर GET स्ट्रिंग्स का उपयोग करें, आपको इसके बिना ठीक होना चाहिए यह। mod_security कभी भी गंभीर हैकर्स को नहीं रोकेगी, और यदि आपके पास एक अच्छा अनुप्रयोग है, तो स्क्रिप्ट किडिज़ हार मान लेगी और अगले वास्तव में कमजोर और असुरक्षित ऐप से बाहर निकल जाएगी।