Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 21490 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

"Blocked content" page not shown in Standard Mode if the site is HTTPS

eclipse79oldacct
Hello, 
I have noticed that if the Proxy Mode is Standard and you try to surf in a https site that should be blocked, the user does not see the Astaro Content Blocked page, but he see an error in the browser (see the screenshot). 

I have tried with https://www.facebook.com and https://imo.im.

Obviously I can surf in https web sites. I have tried both to enable and disable HTTPS scan.

This is the entry in the astaro log that shows the correct classification of the site:

2010:09:13-10:56:36 firewall httpproxy[20945]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="CONNECT" srcip="192.168.***.***" user="" statuscode="403" cached="0" profile="REF_kzFLrVCKWx (Profilo Guests)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2751" time="0 ms" request="0xb01b6928" url="imo.im/" exceptions="" error="" reason="category" category="106,122" reputation="neutral" categoryname="Chat,Instant Messaging"

Any idea?

Thank you


This thread was automatically locked due to age.
Parents
  • 0
    This is something that all Proxy Servers have problems with. The browser developers decided to fix a security hole, and that fix will not allow any error messages larger than N bytes (I don't know the exact number). Try the same thing with IE6 and you will see the error message again.

    This happens with all newer browsers, be it Firefox, Safari, IE, Opera... you name it.
  • 0 in reply to cryptochrome
    This is something that all Proxy Servers have problems with. The browser developers decided to fix a security hole, and that fix will not allow any error messages larger than N bytes (I don't know the exact number). Try the same thing with IE6 and you will see the error message again.

    This happens with all newer browsers, be it Firefox, Safari, IE, Opera... you name it.


    Thank you cryptochrome, 
    I would expect to ear it from the support, but my ticket is open since monday without any reply... [:@]

    Anyway: it's a very bad behaviour, the users think that the web sites are not available... but they are simply blocked! A lot of confusion for them... [:(]( So the only solution would be to reduce the bytes of astaro informational page...
  • 0 in reply to eclipse79oldacct
    Thank you cryptochrome, 
    I would expect to ear it from the support, but my ticket is open since monday without any reply... [:@]

    Anyway: it's a very bad behaviour, the users thing that the web sites are not available... but they are simply blocked! A lot of confusion for them... [:(]( So the only solution would be to reduce the bytes of astaro informational page...


    The problem is that this is not well known. It took us a while to find this out in a large project that uses Blue Coat Proxies (market leaders in secure proxies) and McAfee Web Gateway, both of which are enterprise grade solutions and you would expect them to know about it too. So I wouldn't blame Astaro really, as their user base is probably not as large and enterprise focused as with Blue Coat or McAfee. 

    The fix I was talking about just made it into recent browser versions (I think starting with IE7 and FF 3.5). And it's really a fix that closes a security hole all browsers suffered. The unfortunate side effect is that error messages in HTTP CONNECT (SSL) don't work anymore, unless they have very few bytes.

    Yes, it is frustrating. 

    On Blue Coat we were able to some nasty tricks with redirects to HTTP error pages, but I don't think something like this could be done with Astaro.
  • 0 in reply to cryptochrome
    The problem is that this is not well known. 


    I opened a feature request (even if, I think, it should be managed as a bug). Plase vote it [:)]

    "Blocked content page" has to be shown also for HTTPS blocked website
Reply Children
Unfiltered HTML