Добрый день господа.
Собстно предистория: Сперва было слово, руководство постановило о запрете всяких соц-сетей, в частности вконтакте и одноклассники. Поставил сквид, запретил урлы vkontakt и odnoklas. Какое то время юзеры шукали, потом притихли... появилось же куча всяких проксей и черных ходов, в которых не светятся урлы. Как бы я долго закрывал на это глаза, не сильно оно мне надо было, да и некогда, так дел хватает. Сегодня пошутил на тему что все таки прикрою это дело (на самом деле я действительно шутил), после шутки услышал в спину возглас "шут" от одной молодой мадам, остановился, подумал и решил что все таки теперь достаточно шуток. Пора все это %%лядство прекращать раз пошла такая пьянка.
А теперь по сути, как запретить непосредственно html контент? В исходниках vkontakte есть "В Контакте © 2006-2009" можно ли по этому контенту запрет поставить? в squid только урлы и acl на глаза попадались.
Вообще поделитесь опытом, чем можно это дело прикрыть грамотно?
>Вообще поделитесь опытом, чем можно это дело прикрыть грамотно?на "грамотно" не претендую
исходя из whois за одноклассниками закреплены сети
93.186.224.0/22
81.176.227.0/24
81.177.30.0/24
81.177.140.0/24
81.177.141.0/24
81.177.142.0/24
81.177.143.0/24
81.177.156.0/24
195.239.157.0/27
212.119.216.0/24
зетем запрещаем в догонку не только слова odnoklassniki и в vkontakte, но и proxy (вместе с производными)
далее немного думаем, и пишем скрипт, который исслледует access.log на предмет использования метода POST. Все cgi-прокси используют именно его.
так же запрещаем хождение по IP
>Вообще поделитесь опытом, чем можно это дело прикрыть грамотно?Грамотно, не закрывать, а логировать и докладную начальству в конце месяца. А так "шут" вполне уместно было.
>>Вообще поделитесь опытом, чем можно это дело прикрыть грамотно?
>
>Грамотно, не закрывать, а логировать и докладную начальству в конце месяца. А
>так "шут" вполне уместно было.Ну я бы режика попробовал, он и регулярные выражения умеет и много ещё чего.
>>>Вообще поделитесь опытом, чем можно это дело прикрыть грамотно?
>>
>>Грамотно, не закрывать, а логировать и докладную начальству в конце месяца. А
>>так "шут" вполне уместно было.
>
>Ну я бы режика попробовал, он и регулярные выражения умеет и много
>ещё чего.да, режик - редиректор к squid с сайта rejik.ru может решить эту проблему почти полностью.
И откуда вы, "шуты", беретесь? Все ваши ухищрения обходятся продвинутыми пользователями на раз, причем без какого-либо понимания принципов работы прокси и http/https протоколов. Продолжайте смешить секретарш.
>И откуда вы, "шуты", беретесь? Все ваши ухищрения обходятся продвинутыми пользователями на
>раз, причем без какого-либо понимания принципов работы прокси и http/https протоколов.
>Продолжайте смешить секретарш.А ты попробуй обойти это, имя доступ только к белому списку сайтов. Тут webproxy и http,https тунели не помогут. Есть еще предложения, умник?
Легко, докладную начальству на тему зарвавшегося админа с его идиотским белым списком, мешающим нормальной работе.
Я конечно понимаю, что ты можешь придумать гипотетическую фирму, для которой будет приемлемым доступ только к заранее известному набору внешних(не интранет) сайтов, вот только мы живем в реальном мире и здесь такое если и встречается, то крайне редко.
>Легко, докладную начальству на тему зарвавшегося админа с его идиотским белым списком,
>мешающим нормальной работе.
>Я конечно понимаю, что ты можешь придумать гипотетическую фирму, для которой будет
>приемлемым доступ только к заранее известному набору внешних(не интранет) сайтов, вот
>только мы живем в реальном мире и здесь такое если и
>встречается, то крайне редко.Как раз встречается. У нас фирма занимается проектированием различных объектов, многие из которых делаются для военной промышленности, в свою очередь, являющиеся секретными. И выход в интернет категорически давать запрещено, во избежание утечки информации налево. На выходе проходишь досмотр в КПП, чтобы документы не вынес. А как без интернета делать свежие проекты? Так и делали раньше. Теперь хоть еле добился разрешения от начальства, чтобы давать доступ к белому списку сайтов и пользователи могли опираться на свежую информацию из интернета. Тут наоборот пользователи благодарят за доступ в "урезанный" интернет. Я бы и сам рад доступ ко всему, кроме банеров и порно сайтов, но меня 1 отдел безопасности с ФСБшниками повяжут. Я это не придумываю - это реальное обстоятельство дел. Вот такие пироги, господа.
Ну это всё-таки уж очень специфичный случай. А для большинства фирм ИМХО вполне подойдёт запрет POST и CONNECT со списком исключений. Заодно и кол-во возможностей для утечек уменьшится.
А если сильно постараться, то наверняка можно найти решение и для логирования/резки определённых POST-запросов.
>[оверквотинг удален]
>я долго закрывал на это глаза, не сильно оно мне надо
>было, да и некогда, так дел хватает. Сегодня пошутил на тему
>что все таки прикрою это дело (на самом деле я действительно
>шутил), после шутки услышал в спину возглас "шут" от одной молодой
>мадам, остановился, подумал и решил что все таки теперь достаточно шуток.
>Пора все это %%лядство прекращать раз пошла такая пьянка.
>А теперь по сути, как запретить непосредственно html контент? В исходниках vkontakte
>есть "В Контакте © 2006-2009" можно ли по этому контенту запрет
>поставить? в squid только урлы и acl на глаза попадались.
>Вообще поделитесь опытом, чем можно это дело прикрыть грамотно?Вообщето все нынишние соц-сети построины на технологии ajax что предусматривает подгрузку javascript из специфическим контентом (в тексте можна нарыть нигде более не повторяемые последовательности символов) нарыв таких два три блокируеш за контентом - и тогда пусть даже будет возможность заходить на сайт но отображатса он будет совсем не коректно, что не очень удовлитворит пользователя. Конечно работа по поиску таких последовательносте рутиная но тогда не будут блокироватса нужные сайты за часто встречаемыми ключевими словами.
Успеха
на основании контента умеет фильтровать dansguardian, который можно поставить в связке со squid