最近,我的兄弟建議我使用mod_security。我做了一個研究,究竟它是什麼,它做了什麼,但是我決定是否應該使用它,我感到非常不安。這是我腦海中的那些讓我不使用它的東西。Web應用防火牆是否有用?
- 稍微影響我的網站性能。規則越多,它就會越慢。
- 它並沒有完全過濾所有的攻擊(這是可以理解的,因爲任何軟件都不可能真正保護所有東西)。
- 有時,它可以阻止無辜的用戶。
- 添加另一個軟件意味着添加另一個責任來維護它。
現在真正的問題是:
如果mod_security的無法過濾一切,你仍然需要做 確保您的網絡應用程序是安全的,爲什麼不正確撰寫 安全的Web應用程序不運行任何Web應用程序 防火牆?
由於它是我們的網絡應用程序,因此我們比任何第三方軟件都更瞭解用戶期望的輸入。使用第三方軟件來檢測攻擊,然後在我們的Web應用程序中編寫輸入驗證就像是雙重檢查(儘管它很好,但性能成本也會增加一倍)。