Как сделать что бы HTTPS блокировался так же как и HTTP

Обсуждение программы редиректора
Ответить
StreamThreader
Сообщения: 19
Зарегистрирован: Вс июн 30, 2013 2:37

Как сделать что бы HTTPS блокировался так же как и HTTP

Сообщение StreamThreader » Вс авг 18, 2013 19:12

Подскажите как сделать. что бы HTTPS блокировался так же как и HTTP.
В apache сделал поддержку ssl и https но я не попадаю на страницу сообщения о блокировке:

Код: Выделить всё

Unable to connect
Firefox can't establish a connection to the server at vk.com.
The site could be temporarily unavailable or too busy. Try again in a few moments.
If you are unable to load any pages, check your computer's network connection.
If your computer or network is protected by a firewall or proxy, make sure that Firefox is permitted to access the Web.
Вручную забивал, файлы с сервера по https открываються.
В логах к примеру просто:
2013-08-18 18:05:47 socnet: 192.168.68.2 - vk.com:443 (urls rule: vk.com)

Slava
Site Admin
Сообщения: 2227
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Сообщение Slava » Пн авг 19, 2013 7:59

Тут важно понимать следующее - режик не блокирует страницы, он подменяет один урл на другой.
И если браузер ждет шифрованные данные, а получает что-то другое, то он выдает ошибку.

Два варианта решения:
1. Для блокировки урлов с протоколом https используйте страницу замены с https
2. Обычно замена происходит на уровне сквида и браузер о ней ничего не знает. Но если дать браузеру понять, что была замена, ошибок быть не должно. Сделать это можно прописав урл замены(в конфиге) в виде:
url 302:http://site.ru/

kapka
Сообщения: 3
Зарегистрирован: Чт фев 03, 2011 11:47

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Сообщение kapka » Чт дек 19, 2013 14:54

У кого-то получилось? Мне п.1 и п.2 не помогли (

StreamThreader
Сообщения: 19
Зарегистрирован: Вс июн 30, 2013 2:37

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Сообщение StreamThreader » Ср окт 14, 2015 12:30

Снова понадобилось показывать баннер, если человек посещает нежелательный сайт через HTTPS, в результате просто ошибка 503 ((
Другие (не в черном списке) https сайты открываются, то есть что-то на стыке сквида и режика наверное.

Slava
Site Admin
Сообщения: 2227
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Сообщение Slava » Ср окт 14, 2015 13:45

Попробовали оба варианта решения?
Во втором варианте, дополнительно, почистите кеш браузера.

klops01
Сообщения: 8
Зарегистрирован: Пн ноя 09, 2015 20:42

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Сообщение klops01 » Чт ноя 12, 2015 18:30

Я правильно понял, что ни у кого это не работает. У меня во всяком случае не работает

millenium
Сообщения: 30
Зарегистрирован: Пн ноя 30, 2015 8:35

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Сообщение millenium » Вт дек 08, 2015 9:25

подниму еще раз этот вопрос, может кто то в курсе как это осуществить?

страницы блокировок в таком виде: http://192.168.23.30:3128/squid-interna ... porno.html

Slava
Site Admin
Сообщения: 2227
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Сообщение Slava » Вт дек 08, 2015 10:30

Немного изучил вопрос, это вроде как в принципе не может работать, так как шифрованное соединение.
В принципе, решение возможно, если подменять сертификат посередине, но я не проверял,
попробуйте настроить в сквиде ssl bump, возможно поможет.

alexK
Сообщения: 17
Зарегистрирован: Чт ноя 27, 2014 14:52

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Сообщение alexK » Вт дек 08, 2015 17:56

Slava писал(а):попробуйте настроить в сквиде ssl bump, возможно поможет.
Если не ошибаюсь UserGate WebFilter фильтрует https трафик за счёт ssl bump'a.

asket
Сообщения: 37
Зарегистрирован: Вт янв 24, 2006 19:32
Откуда: Москва

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Сообщение asket » Ср дек 23, 2015 14:45

Если подменять сертификат, то в логах сквида урлы будут показываться полностью как для HTTP так и для HTTPS, т.о. блокировка станет возможной, однако внедрение SSL Bump весьма ответственное решение, т.к. :

- понижает безопасность работы в инете (MITM-сервер - возможное место утечки важных данных, отсутствие пользовательского контроля за сертификатом сайта, который он открыл)
- для корректной работы требует внедрения самоподписанного корневого сертификата на все раб.места во все используемые браузеры
- не работает для части сайтов и приложений (например, для WindowsUpdate), и вообще для всех случаев SSL Pinning
- это должно быть как-то оформлено юридически - сотрудники должны быть уведомлены о том, что их секретные данные (например,пароль на интернет-банк) могут быть доступны третьим лицам
- ну и периодические жалобы на то, что что-то не запускается, не открывается.

По-моему, использование SSL Bump для блокировки баннеров и счетчиков - это стрельба из пушки по воробьям.

Slava
Site Admin
Сообщения: 2227
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Сообщение Slava » Ср дек 23, 2015 15:17

Если не влезать в шифрованный канал, то невозможно узнать урл и его заблокировать.

Альтернатива - резать на клиенте, например Adblock'ом или запрещать не урл, а хост целиком.

Во всех этих решениях можно найти недостатки, но с шифрованным каналом я других возможностей не вижу.

asket
Сообщения: 37
Зарегистрирован: Вт янв 24, 2006 19:32
Откуда: Москва

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Сообщение asket » Чт сен 08, 2016 12:15

C новым squid 3.5. вроде можно фильтровать HTTPS без MITM.
Статьи «Прозрачный» Squid с фильтрацией HTTPS ресурсов без подмены сертификатов.
https://habrahabr.ru/post/267851/
https://habrahabr.ru/post/272733/

Slava
Site Admin
Сообщения: 2227
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Сообщение Slava » Чт сен 08, 2016 16:13

asket писал(а):C новым squid 3.5. вроде можно фильтровать HTTPS без MITM.
Статьи «Прозрачный» Squid с фильтрацией HTTPS ресурсов без подмены сертификатов.
https://habrahabr.ru/post/267851/
https://habrahabr.ru/post/272733/
Я так понимаю, что полный урл будет недоступен, только имя хоста?
Вы не пробовали его в режиме trproxy?

asket
Сообщения: 37
Зарегистрирован: Вт янв 24, 2006 19:32
Откуда: Москва

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Сообщение asket » Чт сен 08, 2016 19:10

Squid 3.5.19. Спешил и ошибся в конфиге сквида, сначала показалось, что урлы видны, но проверил еще раз, увы, по серверам/доменам без подмены сертификата, в логах только сами серверы/домены. В transparent лучше не будет. Для фильтрации https urls все-таки нужен ssl bump с подменой сертификата.

Ответить