Recentemente sono stato frequentato da errati messaggi di errore da mod_security. I suoi set di filtri coprono gli exploit PHP obsoleti e devo riscrivere le mie cose perché Wordpress & Co ha avuto bug anni fa.
Succede a qualcun altro?
Apache mod_security blocks possibly dangerous HTTP requests before they reach applications (PHP specifically). It uses various filter sets, mostly regex based.
Quindi ho un buon provider di hosting condiviso, tecnicamente adatto e roba del genere. Ma questo mi ha infastidito:
Proprio la scorsa settimana ho dovuto modificare il nome di un parametro &src= in una delle mie app perché mod_security blocca QUALSIASI richiesta con quella. Non ho cercato i suoi dettagli, ma questa regola del filtro stava impedendo la sfruttabilità di un'altra app che non uso e probabilmente non avevo mai sentito. Tuttavia ho dovuto riscrivere il mio codice (il parametro di rinomina spesso è sufficiente per ingannare mod_security) che non aveva niente a che fare o in comune con quello!
E oggi, una silice regex blocca i submission, perché volevo inviare codice di esempio php. Dato, questa è la roba semplice che mod_security è lì per proteggere contro. Ma non credo che mod_security possa rilevare codice seriamente offuscato, e si limita ad ovviare (e in questo caso totalmente banale) ai frammenti di php.
Fondamentalmente sono penalizzato da mod_security perché altre persone hanno rilasciato app bug-prone. (Non sto dicendo che le mie app sono ultra sicure - sono piuttosto cauto sulla sicurezza, ma non faccio affermazioni iperboliche.)
Ho già chiesto al mio provider di disattivarlo comunque, i vantaggi sono troppo minuscoli IMO e per le mie app.
Che ne pensi? Mod_security ha molto senso al di fuori dell'hosting di WP? O è davvero solo una manciata di liste nere di bug di sicurezza scaduti? Quali delle sue regole sono effettivamente utili? Esiste un livello di applicazione equivalente?