stelle mich wohl gerade etwas doof an, wenn es um Suchbegriffe geht, aber wie kann ich den Java(-Applets) mit dem Squid sperren?
Code: Alles auswählen
acl java rep_mime_type application/x-java
http_reply_access deny javaViele Grüße
Fabian
Squid: Java blocken
-
snyborg
- Beiträge: 256
- Registriert: 08.08.2007 22:07:32
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Squid: Java blocken
Hi,
stelle mich wohl gerade etwas doof an, wenn es um Suchbegriffe geht, aber wie kann ich den Java(-Applets) mit dem Squid sperren?
scheint nicht zu funktionieren.
Viele Grüße
Fabian
stelle mich wohl gerade etwas doof an, wenn es um Suchbegriffe geht, aber wie kann ich den Java(-Applets) mit dem Squid sperren?
Viele Grüße
Fabian
Wenn deine Freunde Linux haben, wechsel zu Linux.
Wenn deine Freunde BSD haben, wechsel zu BSD.
Wenn deine Freunde Windows haben, wechsel deine Freunde.
Wenn deine Freunde BSD haben, wechsel zu BSD.
Wenn deine Freunde Windows haben, wechsel deine Freunde.
Re: Squid: Java blocken
Kann es sein, dass die Seite die Java-Applets einfach einen falschen mimetype sendet. Ich glaube, die Browser sind da etwas tolleranter als nur application/x-java.
Sonst: ist https zugelassen? Vielleicht kommt's ja darüber.
Anosnten ist die Idee halt einfach nicht so genial auf nem Proxy zu filtern. (Wenn auch üblich.) Wenn du das ausführen von Java-Applets verhindren willst, sorg dafür, dass die auf den Clients nicht ausgeführt werden. Am ende Sorgt das filtern am proxy eh nur dafür, dass der Filter umgangen wird. (Meist mit ziemlich fatalen Konsequenzen für die Sicherheit, die man ursprünglich verbessern wollte.)
Sonst: ist https zugelassen? Vielleicht kommt's ja darüber.
Anosnten ist die Idee halt einfach nicht so genial auf nem Proxy zu filtern. (Wenn auch üblich.) Wenn du das ausführen von Java-Applets verhindren willst, sorg dafür, dass die auf den Clients nicht ausgeführt werden. Am ende Sorgt das filtern am proxy eh nur dafür, dass der Filter umgangen wird. (Meist mit ziemlich fatalen Konsequenzen für die Sicherheit, die man ursprünglich verbessern wollte.)
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Squid: Java blocken
Muss Java überhaupt den Mime-Type verwenden, wohl eher nicht. Vielleicht umgeht das Programm auch den Proxy. Ist Internet z.B. auch direkt möglich? Poste mal ein paar Logzeilen. Sinnvoll ist die Sperre sowieso nicht.
-
snyborg
- Beiträge: 256
- Registriert: 08.08.2007 22:07:32
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: Squid: Java blocken
Internet ist auch direkt möglich. Es geht aber um eine Absicherung von Serverseite. Deshalb der Gedanke an einen Proxy. Flashvideos zu blocken war ja kein Problem, aber Java scheint wohl in aller Hinsicht ein Geschwür zu seinuname hat geschrieben:Muss Java überhaupt den Mime-Type verwenden, wohl eher nicht. Vielleicht umgeht das Programm auch den Proxy. Ist Internet z.B. auch direkt möglich? Poste mal ein paar Logzeilen. Sinnvoll ist die Sperre sowieso nicht.
Was wäre denn sinvoll, um Java zu unterbinden, wenn man nicht wirklich Einflusss auf die Clients hat?
Logfiles liefere ich nach...
Gruß
Fabi
Wenn deine Freunde Linux haben, wechsel zu Linux.
Wenn deine Freunde BSD haben, wechsel zu BSD.
Wenn deine Freunde Windows haben, wechsel deine Freunde.
Wenn deine Freunde BSD haben, wechsel zu BSD.
Wenn deine Freunde Windows haben, wechsel deine Freunde.
Re: Squid: Java blocken
Müssen laut SUN (oracle) schon. Wie das dann in der Wirklichkeit läuft weiß ich nicht.uname hat geschrieben:Muss Java überhaupt den Mime-Type verwenden, wohl eher nicht.
snyborg hat geschrieben:Internet ist auch direkt möglich.
Würde ich auch drauf tippen. Proxy Umgehung ist einer der der Gründe für den Einsatz von Java. Aber eigentlich greift die sperre ja vorher.uname hat geschrieben:Vielleicht umgeht das Programm auch den Proxy. Ist Internet z.B. auch direkt möglich?
snyborg hat geschrieben:Was wäre denn sinvoll, um Java zu unterbinden, wenn man nicht wirklich Einflusss auf die Clients hat?
Sehe ich genauso. Mag sein dass ich da zu radikal bin, aber alles was ich an Absicherungen abseits von Clients gesehen habe, hat eher zu mssiveren Sicherheitslücken geführt.uname hat geschrieben:Poste mal ein paar Logzeilen. Sinnvoll ist die Sperre sowieso nicht.
Gerade aktuell: https wird im Krankenhaus geblockt, weil nicht filterbar. Also werden die Krankendaten halt per http um die halbe Welt geschickt. Und halbe Welt meine ich wirklich, weil der Proxy steht erstmal in UK.
Serverseite? Wozu? Zum einen kann man einfach keine Java-applets verwenden. Zum anderen ist ja das einzige Problem von den Dingern, dass es in der Vergangenheit einige Male möglich war dass der Server den Client angreift. Wenn der Server gutartig ist, gibt's da ja kein Problem. Wenn du angst vor XSS hast solltest du das lieber richtig fixen. Außerdem habe ich XSS in freier Wildbahn eigentlich nie mit Java-Applets gesehen. Da ist JS der attraktivere Angriffspunkt. In Sachen Java wurde da zu viel in Sachen Sicherheit und Unbequemlichkeit gemacht. Man will die Meldung vom Unsignierten Applet nicht.snyborg hat geschrieben:Absicherung von Serverseite.
rot: Moderator wanne spricht, default: User wanne spricht.
-
snyborg
- Beiträge: 256
- Registriert: 08.08.2007 22:07:32
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: Squid: Java blocken
Huhu,
k, das sind alles sinnige Argumente. Werde das also dem Clientmanagment überlassen (huch, plötzlich auch ich
)
k, das sind alles sinnige Argumente. Werde das also dem Clientmanagment überlassen (huch, plötzlich auch ich
)Wenn deine Freunde Linux haben, wechsel zu Linux.
Wenn deine Freunde BSD haben, wechsel zu BSD.
Wenn deine Freunde Windows haben, wechsel deine Freunde.
Wenn deine Freunde BSD haben, wechsel zu BSD.
Wenn deine Freunde Windows haben, wechsel deine Freunde.
Re: Squid: Java blocken
Man könnte ja clientseitig Java bzw. das Java-Plugin deinstallieren. Die Frage ist immer wofür man es überhaupt braucht.