Страница 1 из 1

Как сделать что бы HTTPS блокировался так же как и HTTP

Добавлено: Вс авг 18, 2013 19:12
StreamThreader
Подскажите как сделать. что бы HTTPS блокировался так же как и HTTP.
В apache сделал поддержку ssl и https но я не попадаю на страницу сообщения о блокировке:

Код: Выделить всё

Unable to connect
Firefox can't establish a connection to the server at vk.com.
The site could be temporarily unavailable or too busy. Try again in a few moments.
If you are unable to load any pages, check your computer's network connection.
If your computer or network is protected by a firewall or proxy, make sure that Firefox is permitted to access the Web.
Вручную забивал, файлы с сервера по https открываються.
В логах к примеру просто:
2013-08-18 18:05:47 socnet: 192.168.68.2 - vk.com:443 (urls rule: vk.com)

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Добавлено: Пн авг 19, 2013 7:59
Slava
Тут важно понимать следующее - режик не блокирует страницы, он подменяет один урл на другой.
И если браузер ждет шифрованные данные, а получает что-то другое, то он выдает ошибку.

Два варианта решения:
1. Для блокировки урлов с протоколом https используйте страницу замены с https
2. Обычно замена происходит на уровне сквида и браузер о ней ничего не знает. Но если дать браузеру понять, что была замена, ошибок быть не должно. Сделать это можно прописав урл замены(в конфиге) в виде:
url 302:http://site.ru/

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Добавлено: Чт дек 19, 2013 14:54
kapka
У кого-то получилось? Мне п.1 и п.2 не помогли (

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Добавлено: Ср окт 14, 2015 12:30
StreamThreader
Снова понадобилось показывать баннер, если человек посещает нежелательный сайт через HTTPS, в результате просто ошибка 503 ((
Другие (не в черном списке) https сайты открываются, то есть что-то на стыке сквида и режика наверное.

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Добавлено: Ср окт 14, 2015 13:45
Slava
Попробовали оба варианта решения?
Во втором варианте, дополнительно, почистите кеш браузера.

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Добавлено: Чт ноя 12, 2015 18:30
klops01
Я правильно понял, что ни у кого это не работает. У меня во всяком случае не работает

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Добавлено: Вт дек 08, 2015 9:25
millenium
подниму еще раз этот вопрос, может кто то в курсе как это осуществить?

страницы блокировок в таком виде: http://192.168.23.30:3128/squid-interna ... porno.html

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Добавлено: Вт дек 08, 2015 10:30
Slava
Немного изучил вопрос, это вроде как в принципе не может работать, так как шифрованное соединение.
В принципе, решение возможно, если подменять сертификат посередине, но я не проверял,
попробуйте настроить в сквиде ssl bump, возможно поможет.

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Добавлено: Вт дек 08, 2015 17:56
alexK
Slava писал(а):попробуйте настроить в сквиде ssl bump, возможно поможет.
Если не ошибаюсь UserGate WebFilter фильтрует https трафик за счёт ssl bump'a.

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Добавлено: Ср дек 23, 2015 14:45
asket
Если подменять сертификат, то в логах сквида урлы будут показываться полностью как для HTTP так и для HTTPS, т.о. блокировка станет возможной, однако внедрение SSL Bump весьма ответственное решение, т.к. :

- понижает безопасность работы в инете (MITM-сервер - возможное место утечки важных данных, отсутствие пользовательского контроля за сертификатом сайта, который он открыл)
- для корректной работы требует внедрения самоподписанного корневого сертификата на все раб.места во все используемые браузеры
- не работает для части сайтов и приложений (например, для WindowsUpdate), и вообще для всех случаев SSL Pinning
- это должно быть как-то оформлено юридически - сотрудники должны быть уведомлены о том, что их секретные данные (например,пароль на интернет-банк) могут быть доступны третьим лицам
- ну и периодические жалобы на то, что что-то не запускается, не открывается.

По-моему, использование SSL Bump для блокировки баннеров и счетчиков - это стрельба из пушки по воробьям.

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Добавлено: Ср дек 23, 2015 15:17
Slava
Если не влезать в шифрованный канал, то невозможно узнать урл и его заблокировать.

Альтернатива - резать на клиенте, например Adblock'ом или запрещать не урл, а хост целиком.

Во всех этих решениях можно найти недостатки, но с шифрованным каналом я других возможностей не вижу.

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Добавлено: Чт сен 08, 2016 12:15
asket
C новым squid 3.5. вроде можно фильтровать HTTPS без MITM.
Статьи «Прозрачный» Squid с фильтрацией HTTPS ресурсов без подмены сертификатов.
https://habrahabr.ru/post/267851/
https://habrahabr.ru/post/272733/

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Добавлено: Чт сен 08, 2016 16:13
Slava
asket писал(а):C новым squid 3.5. вроде можно фильтровать HTTPS без MITM.
Статьи «Прозрачный» Squid с фильтрацией HTTPS ресурсов без подмены сертификатов.
https://habrahabr.ru/post/267851/
https://habrahabr.ru/post/272733/
Я так понимаю, что полный урл будет недоступен, только имя хоста?
Вы не пробовали его в режиме trproxy?

Re: Как сделать что бы HTTPS блокировался так же как и HTTP

Добавлено: Чт сен 08, 2016 19:10
asket
Squid 3.5.19. Спешил и ошибся в конфиге сквида, сначала показалось, что урлы видны, но проверил еще раз, увы, по серверам/доменам без подмены сертификата, в логах только сами серверы/домены. В transparent лучше не будет. Для фильтрации https urls все-таки нужен ssl bump с подменой сертификата.