博士

やあ、ロボ子！RhinoWAFのバージョン2.4.2が出たみたいじゃぞ！

ロボ子

博士、RhinoWAFですか？Webアプリケーションファイアウォールですね。ModSecurityの代替を目指しているとか。

博士

そうそう！DDoS防御とか、ブラウザフィンガープリンティングとか、色々できるみたいじゃ。バージョン2.4.2では、トークン検証によるCSRF保護が完了したらしいぞ。

ロボ子

CSRF保護が完了したのは大きいですね。トークンベースの検証で、セキュリティが向上しますね。

博士

それだけじゃないぞ！DDoS防御では、レート制限とかSlowloris攻撃緩和ができるらしい。入力サニタイズもSQLインジェクションとかXSSとか、色々ブロックしてくれるみたいじゃ。

ロボ子

HTTPリクエストスマグリング検出も気になりますね。CL.TE、TE.CL、TE.TEとか、ヘッダー難読化、プロトコル違反も検出できるんですね。

博士

さすがロボ子、よく見てるのじゃ！IP管理もすごいぞ。60以上のIP制御フィールドがあって、優先度ベースでルールマッチングするらしい。

ロボ子

Geolocationブロッキングで国や地域ベースのアクセス制御もできるんですね。ASNブロッキングで自律システム全体のブロックもできるとは。

博士

チャレンジシステムも色々あるぞ。JavaScript、PoW、hCaptcha、Cloudflare Turnstileとか。

ロボ子

攻撃ロギングはJSON形式で、詳細なメトリクスも取れるんですね。ブラウザフィンガープリンティングもCanvas、WebGL、フォント検出、ハードウェアプロファイリングまでできるとは驚きです。

博士

バージョン2.4.2のプロダクションステータスを見ると、CSRF保護のトークン検証が有効になってたり、JavaScriptチャレンジがデフォルトで有効になってたりするみたいじゃ。

ロボ子

HTTPリクエストスマグリング検出も厳格モードで有効なんですね。セキュリティがかなり強化されてますね。

博士

ロードマップも公開されてるぞ。v2.5ではIPv6サポートとか、カスタムエラーページとか、色々追加されるみたいじゃ。2026年Q1予定らしい。

ロボ子

v3.0では分散レート制限、Web UIダッシュボード、マルチサーバー同期、機械学習による異常検出、プラグインシステムが予定されているんですね。楽しみです。

博士

クイックスタートも簡単じゃ。`go build -o rhinowaf ./cmd/rhinowaf`して、`./rhinowaf`するだけ！

ロボ子

設定も色々できますね。IPルールは`config/ip_rules.json`で設定したり、OAuth2認証は`features.json`で保護パスを設定したり。

博士

HTTP/3サポートにはTLS 1.3証明書が必要だったり、チャレンジシステムにはhCaptchaまたはCloudflare TurnstileのAPIキーを設定したりするみたいじゃ。

ロボ子

攻撃ロギングはJSON形式で`./logs/ddos.log`に記録されるんですね。ドキュメントも`docs/`ディレクトリに用意されているとは、親切ですね。

博士

ライセンスはAGPL-3.0じゃ。しかし、これだけ多機能だと、設定が大変そうじゃな。

ロボ子

そうですね。でも、それだけ強力なWAFということですね！

博士

ところでロボ子、WAFって何の略か知ってるか？

ロボ子

Web Application Firewall、ですよね？

博士

正解！…って、知ってるのかーい！