HTTP-PROXY - eigenartige Interpretation von "whitelist-url"

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

HTTP-PROXY - eigenartige Interpretation von "whitelist-url"

Beitrag von Franz »

Der HTTP-PROXY hat eine eigenartige Interpretation von "whitelist-url"-Ausdrücken beim Aufruf von HTTPS-URLs

Wenn man mit Hilfe einer "whitelist-url" den Aufruf einer HTTPS-Seite erlauben möchte, die ansonsten über "blacklist-cat" gesperrt wäre, so kann man beispielsweise nicht einfach "https://www.flickr.com/*" als Ausdruck für die "whitelist-url" Regel angeben. Das führt beim Client zur Fehlermeldung "Error - Access denied!..." ohne genaue Angabe des Grundes.

Wenn man jedoch "http*://www.flickr.com/*" als Ausdruck in der Regel angibt, lässt sich "https://www.flickr.com" (und natürlich auch "http://www.flickr.com") problemlos aufrufen.

Die Logik hinter der ganzen Sache ist für mich nicht offensichtlich, aber wenigstens gibt es einen brauchbaren Workaround.

Danke nochmal an den Support!


... und vielleicht ändert sich mal was an der Logik :)

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

dieses Verhalten ist ganz normal. Alle Browser übergeben bei https Seiten die Domain:443 auch in Ihrem Falle. Dies können Sie auch ganz gut im Livelog erkennen. Die whitelist-url wäre flickr.com* damit haben Sie sowohl https, http und alle folgenden Verzeichnissen freigegeben.

Gruß Björn

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Hallo Björn,

die Theorie kann nicht ganz stimmen, denn weder "whitelist-url:https://www.flickr.com:443/*" noch "whitelist-url:https://www.flickr.com:*/*" oder "whitelist-url:https://www.flickr.com*" führen dazu, dass die URL "https://www.flickr.com" aufgerufen werden kann.

Erst "whitelist-url:http*://www.flickr.com/*" oder "whitelist-url:*://www.flickr.com/*" führen zum gewünschten Ergebnis. Das Verhalten lässt sich mit belibigen anderen HTTPS-URLs nachvollziehen.

Die eigenwillige Interpretation der Ausdrücke muss also eine andere Ursache haben. :)

Es kommt hinzu, dass der Grund (Kategorie etc.) für die Blockade bei HTTPS-URLs nicht in der Fehlermeldung angegeben wird. Bei HTTP-URLs wird der Grund detailliert angezeigt.


Schöne Grüße nach Lüneburg

Franz

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo Franz,

war meine Schuld. Ich hatte das * vor flickr.com* vergessen. Also *flickr.com* und das Surfen ist auf der Seite wieder wie gewohnt möglich.

Gruß Björn

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Hallo Björn,

"flickr.com" war nur ein Beispiel, um das eigenwillige Verhalten zu demonstrieren!

Durch den * vor der Domain wird viel zu viel mit freigegeben. Wenn beispielsweise gewünscht wird, dass nur die HTTPS-URL aufgerufen werden kann, müsste man erst die HTTP-URL sperren und dann die HTTPS-URL erlauben.

Ich denke, die Sache ist nicht dringend, sie sollte jedoch mal von der Entwicklungsabteilung überprüft werden, weil das ansonsten sehr missverständlich ist. Ebenso die Tatsache, dass keine Details zur Sperrung von HTTPS-URLs angezeigt werden.


Gruß

Franz

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Hallo Franz,

das mit dem whitelist Entrag konnte ich hier nachstellen (ist ein Bug) Webfilter Team weiß bescheid und arbeitet dran.
Bezüglich keine Infos bei https Block: Dazu muss die SSL Interception auf der Firewall im Proxy aktiviert sein, dann sehen Sie auch da Infos

Gruß

Kenneth

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Hallo Kenneth,

danke für die Info!

Gruß

Franz

Antworten