Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 21484 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

"Blocked content" page not shown in Standard Mode if the site is HTTPS

eclipse79oldacct
Hello, 
I have noticed that if the Proxy Mode is Standard and you try to surf in a https site that should be blocked, the user does not see the Astaro Content Blocked page, but he see an error in the browser (see the screenshot). 

I have tried with https://www.facebook.com and https://imo.im.

Obviously I can surf in https web sites. I have tried both to enable and disable HTTPS scan.

This is the entry in the astaro log that shows the correct classification of the site:

2010:09:13-10:56:36 firewall httpproxy[20945]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="CONNECT" srcip="192.168.***.***" user="" statuscode="403" cached="0" profile="REF_kzFLrVCKWx (Profilo Guests)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2751" time="0 ms" request="0xb01b6928" url="imo.im/" exceptions="" error="" reason="category" category="106,122" reputation="neutral" categoryname="Chat,Instant Messaging"

Any idea?

Thank you


This thread was automatically locked due to age.
  • 0
    method="CONNECT"

    I think that means that any blocked https site will react the same way.  I don't know if this is desired behavior or a bug.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    method="CONNECT"

    I think that means that any blocked https site will react the same way.  I don't know if this is desired behavior or a bug.

    Cheers - Bob


    Thank you Bob, 
    so do you obtain the same results? Did you try to get https://imo.im ?

    thanks [:D]
  • 0 in reply to eclipse79oldacct
    I didn't confirm other than by reading the log line you provided.  A little educated guessing:  you have 'Scan HTTPS (SSL) Traffic' checked, and the "man-in-the-middle" should have shown you the Astaro page instead of returning a 403.  Then again, maybe that would be considered a feature request.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    This is something that all Proxy Servers have problems with. The browser developers decided to fix a security hole, and that fix will not allow any error messages larger than N bytes (I don't know the exact number). Try the same thing with IE6 and you will see the error message again.

    This happens with all newer browsers, be it Firefox, Safari, IE, Opera... you name it.
  • 0 in reply to cryptochrome
    This is something that all Proxy Servers have problems with. The browser developers decided to fix a security hole, and that fix will not allow any error messages larger than N bytes (I don't know the exact number). Try the same thing with IE6 and you will see the error message again.

    This happens with all newer browsers, be it Firefox, Safari, IE, Opera... you name it.


    Thank you cryptochrome, 
    I would expect to ear it from the support, but my ticket is open since monday without any reply... [:@]

    Anyway: it's a very bad behaviour, the users think that the web sites are not available... but they are simply blocked! A lot of confusion for them... [:(]( So the only solution would be to reduce the bytes of astaro informational page...
  • 0 in reply to eclipse79oldacct
    Thank you cryptochrome, 
    I would expect to ear it from the support, but my ticket is open since monday without any reply... [:@]

    Anyway: it's a very bad behaviour, the users thing that the web sites are not available... but they are simply blocked! A lot of confusion for them... [:(]( So the only solution would be to reduce the bytes of astaro informational page...


    The problem is that this is not well known. It took us a while to find this out in a large project that uses Blue Coat Proxies (market leaders in secure proxies) and McAfee Web Gateway, both of which are enterprise grade solutions and you would expect them to know about it too. So I wouldn't blame Astaro really, as their user base is probably not as large and enterprise focused as with Blue Coat or McAfee. 

    The fix I was talking about just made it into recent browser versions (I think starting with IE7 and FF 3.5). And it's really a fix that closes a security hole all browsers suffered. The unfortunate side effect is that error messages in HTTP CONNECT (SSL) don't work anymore, unless they have very few bytes.

    Yes, it is frustrating. 

    On Blue Coat we were able to some nasty tricks with redirects to HTTP error pages, but I don't think something like this could be done with Astaro.
  • 0 in reply to cryptochrome
    The problem is that this is not well known. 


    I opened a feature request (even if, I think, it should be managed as a bug). Plase vote it [:)]

    "Blocked content page" has to be shown also for HTTPS blocked website
  • 0 in reply to eclipse79oldacct
    Guys, yesterday I finally upgraded to v8.102. An happy surprise: this issue has been solved! [[:D]][[:D]]
  • 0
    hence why my first advice is..always run the latest Astaro if your hardware can handle it...[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    hence why my first advice is..always run the latest Astaro if your hardware can handle it...[[:)]]


    Yeah, but in september (when I opened the ticket) no one-touch-upgrade was available [[:)]]. And Support told be that it was a browser related issue:

    "I talked with our development and that issue is not caused by the astaro. This behavior is wanted by the Firefox and IE development crew.
    In the firefox bug tracking system we found the related ID 479880."

    Anyway, I discovered a lack today... [:(]
    - If I set HTTPS scanning ON, and I surf on a forbidden web site, I get the Blocked Content Page (the behaviour I was asking for... on v7 I get a browser error)  - OK
    - If I disable HTTPS scanning, and I surf on a forbidden web site, I get the browser error (on v7 content filter was not applied to a https web site when https scanning was off) [:@]

    a sad eclipse79....
Unfiltered HTML