Der HTTP-PROXY hat eine eigenartige Interpretation von "whitelist-url"-Ausdrücken beim Aufruf von HTTPS-URLs
Wenn man mit Hilfe einer "whitelist-url" den Aufruf einer HTTPS-Seite erlauben möchte, die ansonsten über "blacklist-cat" gesperrt wäre, so kann man beispielsweise nicht einfach "https://www.flickr.com/*" als Ausdruck für die "whitelist-url" Regel angeben. Das führt beim Client zur Fehlermeldung "Error - Access denied!..." ohne genaue Angabe des Grundes.
Wenn man jedoch "http*://www.flickr.com/*" als Ausdruck in der Regel angibt, lässt sich "https://www.flickr.com" (und natürlich auch "http://www.flickr.com") problemlos aufrufen.
Die Logik hinter der ganzen Sache ist für mich nicht offensichtlich, aber wenigstens gibt es einen brauchbaren Workaround.
Danke nochmal an den Support!
... und vielleicht ändert sich mal was an der Logik
HTTP-PROXY - eigenartige Interpretation von "whitelist-url"
Moderator: Securepoint
Hallo,
dieses Verhalten ist ganz normal. Alle Browser übergeben bei https Seiten die Domain:443 auch in Ihrem Falle. Dies können Sie auch ganz gut im Livelog erkennen. Die whitelist-url wäre flickr.com* damit haben Sie sowohl https, http und alle folgenden Verzeichnissen freigegeben.
Gruß Björn
dieses Verhalten ist ganz normal. Alle Browser übergeben bei https Seiten die Domain:443 auch in Ihrem Falle. Dies können Sie auch ganz gut im Livelog erkennen. Die whitelist-url wäre flickr.com* damit haben Sie sowohl https, http und alle folgenden Verzeichnissen freigegeben.
Gruß Björn
Hallo Björn,
die Theorie kann nicht ganz stimmen, denn weder "whitelist-url:https://www.flickr.com:443/*" noch "whitelist-url:https://www.flickr.com:*/*" oder "whitelist-url:https://www.flickr.com*" führen dazu, dass die URL "https://www.flickr.com" aufgerufen werden kann.
Erst "whitelist-url:http*/www.flickr.com/*" oder "whitelist-url:*/www.flickr.com/*" führen zum gewünschten Ergebnis. Das Verhalten lässt sich mit belibigen anderen HTTPS-URLs nachvollziehen.
Die eigenwillige Interpretation der Ausdrücke muss also eine andere Ursache haben.
Es kommt hinzu, dass der Grund (Kategorie etc.) für die Blockade bei HTTPS-URLs nicht in der Fehlermeldung angegeben wird. Bei HTTP-URLs wird der Grund detailliert angezeigt.
Schöne Grüße nach Lüneburg
Franz
die Theorie kann nicht ganz stimmen, denn weder "whitelist-url:https://www.flickr.com:443/*" noch "whitelist-url:https://www.flickr.com:*/*" oder "whitelist-url:https://www.flickr.com*" führen dazu, dass die URL "https://www.flickr.com" aufgerufen werden kann.
Erst "whitelist-url:http*/www.flickr.com/*" oder "whitelist-url:*/www.flickr.com/*" führen zum gewünschten Ergebnis. Das Verhalten lässt sich mit belibigen anderen HTTPS-URLs nachvollziehen.
Die eigenwillige Interpretation der Ausdrücke muss also eine andere Ursache haben.
Es kommt hinzu, dass der Grund (Kategorie etc.) für die Blockade bei HTTPS-URLs nicht in der Fehlermeldung angegeben wird. Bei HTTP-URLs wird der Grund detailliert angezeigt.
Schöne Grüße nach Lüneburg
Franz
Hallo Björn,
"flickr.com" war nur ein Beispiel, um das eigenwillige Verhalten zu demonstrieren!
Durch den * vor der Domain wird viel zu viel mit freigegeben. Wenn beispielsweise gewünscht wird, dass nur die HTTPS-URL aufgerufen werden kann, müsste man erst die HTTP-URL sperren und dann die HTTPS-URL erlauben.
Ich denke, die Sache ist nicht dringend, sie sollte jedoch mal von der Entwicklungsabteilung überprüft werden, weil das ansonsten sehr missverständlich ist. Ebenso die Tatsache, dass keine Details zur Sperrung von HTTPS-URLs angezeigt werden.
Gruß
Franz
"flickr.com" war nur ein Beispiel, um das eigenwillige Verhalten zu demonstrieren!
Durch den * vor der Domain wird viel zu viel mit freigegeben. Wenn beispielsweise gewünscht wird, dass nur die HTTPS-URL aufgerufen werden kann, müsste man erst die HTTP-URL sperren und dann die HTTPS-URL erlauben.
Ich denke, die Sache ist nicht dringend, sie sollte jedoch mal von der Entwicklungsabteilung überprüft werden, weil das ansonsten sehr missverständlich ist. Ebenso die Tatsache, dass keine Details zur Sperrung von HTTPS-URLs angezeigt werden.
Gruß
Franz
Hallo Franz,
das mit dem whitelist Entrag konnte ich hier nachstellen (ist ein Bug) Webfilter Team weiß bescheid und arbeitet dran.
Bezüglich keine Infos bei https Block: Dazu muss die SSL Interception auf der Firewall im Proxy aktiviert sein, dann sehen Sie auch da Infos
Gruß
Kenneth
das mit dem whitelist Entrag konnte ich hier nachstellen (ist ein Bug) Webfilter Team weiß bescheid und arbeitet dran.
Bezüglich keine Infos bei https Block: Dazu muss die SSL Interception auf der Firewall im Proxy aktiviert sein, dann sehen Sie auch da Infos
Gruß
Kenneth
Hallo Kenneth,
danke für die Info!
Gruß
Franz
danke für die Info!
Gruß
Franz