[Clarence]

Citat:

Ursprungligen postat av danielos

Jo, men de där problemen har ju bara alla webbhotell som inte kör modsecurity2 med bra config, men tyvärr kör de flesta webbhotell utan modsecurity2. Sedan finns andra tekniker att skärma av konton på shared hosting och det är att varje webbkonto har sin egen chrootad php process.

Ett problem är väl att webbhotell återkommande har fått anstormningar av funktioner i färdig programvara som inte fungerar med mod_security. T ex swfupload, ajax-funktioner i WP-admin osv. Funktionerna i sig är ibland tveksamt skrivna, men ofta helt säkra i sig vilket gör att många rekommenderas att stänga av någon/alla regler för en fil eller katalog. Att felsöka sådant åt användare kan jag inte tänka mig är vidare roligt.

För VPS tycker jag mig se betydligt större del som använder alternativa (lightweight) webb- och applikationsservrar för vilket mod_security inte finns.

Vidare finns det väl gott om sårbarheter som blockerats i mod security först efter ett stort utbrott av hackade sajter och ofta för de största OS-mjukvarorna patchas dessa i mjukvaran innan mod_security reglerna är uppdaterade.

Vad jag menar är inte att mod_security inte är nyttigt. Men att se det som alternativ till säkra programvaror ger en falsk trygghet.

Att skärma av konton i shared hosting är ju så klart nyttigt. Men det hjälper ju inte TS i att undvika att bli hackad så länge han inte kan ge instruktioner åt sitt webbhotell.