El lun, 12-12-2016 a las 17:51 -0500, Ernesto Tur Laurencio escribió: > -------------------------------------------------- > From: "Sandy Moreno Castillo" <smor...@dppfvc.co.cu> > Sent: Monday, December 12, 2016 8:25 AM > To: "Lista cubana de soportetécnicoen Tecnologias Libres" > <gutl-l@jovenclub.cu> > Subject: Re: [Gutl-l] Dansguardian > > > a mi me sucede exactamente lo mismo q a ti-... solo q no tengo > > dansguardian.. todo lo tengo por reglas en mi squid.conf....... si no me > > equivoco una solucion de manera mas rapida es denegar las extenciones de > > fotos o imagenes.. ejemplo. jpg, jpeg, gif, png, etc... > > VALIDO EL COMENTARIO.... MUY INTERESANTE... UNA VEZ Q LO LEI ME DI CUENTA > > Q A MI TAMBIEN ME SUCEDIA... GRACIAS .. SI ENCUENTRO ALGO TE LO MANDOPOR > > CORREO SALUDOS > > > > > > ----- Mensaje original ----- > > De: "Informatico Iberostar Ensenachos (Armando Ramos Roche)" > > <informat...@ensenachos.co.cu> > > Para: gutl-l@jovenclub.cu > > Enviados: Viernes, 9 de Diciembre 2016 18:14:04 > > Asunto: [Gutl-l] Dansguardian > > > > Saludos Lista, > > Tengo montado un Ubuntu 16.04 con Squid 3.5.12 + Dansguardian 2.10.1.1, y > > tengo la siguiente situacion. > > Si un usuario hace una busqueda y pone las palabras porn, o xxx o lo que > > sea relativo a sexo o contenido que no se debe tener acceso, pues muestra > > los resultados, cuyas paginas no puede abrir porque estan en la lista > > negra, pero si se para para la pestaña de Imágenes del buscador, le > > aparece todo tipo de imágenes, las cuales puede descargar y etc... > > Por ejemplo uno cuando busca en google la palabra xxx la URL toma esta > > forma: > > https://www.google.com.cu/?gws_rd=cr,ssl&ei=EohJWN_uHobxmAHm3764DA#q=xxx > > Estuve viendo en el dansguardian que hay un fichero llamado > > bannedregexpurllist que supuestamente debe bloquear todas las expresiones > > regulares que tenga dentro este fichero, por defecto trae expresiones para > > tema pornografia y otras cosas, pero aun asi me sigue mostrando los > > resultados, cuando debe bloquearlo pues la URL cambia... > > si alguien se ha tropezado con este tema, le agradeceria su ayuda a ver si > > hay un metodo lo mas infalible posible. > > Saludos > > > > ______________________________________________________________________ > > Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. > > Gutl-l@jovenclub.cu > > https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l > > ______________________________________________________________________ > > Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. > > Gutl-l@jovenclub.cu > > https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l > > Acabo de consultar en la Wikipedia sobre HTTPS y les cito parte de lo que > refiere a HTTPS: > > ###### > El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal > cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador > utilizado por el cliente) más apropiado para el tráfico de información > sensible que el protocolo HTTP. De este modo se consigue que la información > sensible (usuario y claves de paso normalmente) no pueda ser usada por un > atacante que haya conseguido interceptar la transferencia de datos de la > conexión, ya que lo único que obtendrá será un flujo de datos cifrados que > le resultará imposible de descifrar. > ###### > > Eso en CUP es lo mismo que: si usan HTTPS para acceder a cualquier servicio > en INTERNET, es casi imposible que intermediarios (alias proxy, snifer, man > in the middle) u otro personal chismoso (autorizado o no) pueda ver lo que > ese usuario este haciendo en esa web, la cual como bien enunciaron puede ser > buscar fotos de un catálogos de piezas de mantenimiento o personas haciendo > "ustedes saben que". > > De momento lo que si les debe quedar bien claro es que cuanto más seguro se > hagan las comunicaciones (o sea el nivel de encriptación de la conexión), > más difícil será el poder conocer donde entran nuestros usuarios y que hacen > allí. >
Bien, Michael me pide hacerles llegar este comentario (por alguna oscura razón sus mensajes a la lista no llegan. Administradores en el JCC, ¿pueden revisar eso?) relevante sobre el tema: De: Michael González Medina <admin....@sanidadvegetal.cu> Para: Alberto José García Fumero <albe...@ettpartagas.co.cu> Asunto: Re: [Gutl-l] Dansguardian Fecha: Tue, 13 Dec 2016 09:27:29 -0500 [Fumero disculpa que secuestre tus recursos para responder este correo de la lista pero no pude contenerme a responder al menos este tema, saludos y esta semana tengo la visita por allá a llevarte lo del Blackberry, saludos] Buenos días Ernesto tienes razón(en parte) en lo que dices aunque... debes saber que ya existen hace algún tiempo herramientas para monitorear conexiones https a través de por ejemplo... un Proxy, como...? ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 1- http://wiki.squid-cache.org/Features/HTTPS ..." Bumping direct SSL/TLS connections {X} WARNING: {X} HTTPS was designed to give users an expectation of privacy and security. Decrypting HTTPS tunnels without user consent or knowledge may violate ethical norms and may be illegal in your jurisdiction. Squid decryption features described here and elsewhere are designed for deployment with user consent or, at the very least, in environments where decryption without consent is legal. These features also illustrate why users should be careful with trusting HTTPS connections and why the weakest link in the chain of HTTPS protections is rather fragile. Decrypting HTTPS tunnels constitutes a man-in-the-middle attack from the overall network security point of view. Attack tools are an equivalent of an atomic bomb in real world: Make sure you understand what you are doing and that your decision makers have enough information to make wise choices. A combination of Squid NAT Interception, SslBump, and associated features can be used to intercept direct HTTPS connections and decrypt HTTPS messages while they pass through a Squid proxy. This allows dealing with HTTPS messages sent to the origin server as if they were regular HTTP messages, including applying detailed access controls and performing content adaptation (e.g., check request bodies for information leaks and check responses for viruses). Configuration mistakes, Squid bugs, and malicious attacks may lead to unencrypted messages escaping Squid boundaries. Currently, Squid-to-client traffic on intercepted direct HTTPS connections cannot use Dynamic Certificate Generation, leading to browser warnings and rendering such configurations nearly impractical. This limitation will be addressed by the bump-server-first project. >From the browser point of view, intercepted messages are not sent to a proxy. Thus, general interception limitations, such as inability to authenticate requests, apply to bumped intercepted transactions as well. Encrypted browser-Squid connection While HTTPS design efforts were focused on end-to-end communication, it would also be nice to be able to encrypt the browser-to-proxy connection (without creating a CONNECT tunnel that blocks Squid from accessing and caching content). This would allow, for example, a secure use of remote proxies located across a possibly hostile network. Squid can accept regular proxy traffic using https_port in the same way Squid does it using an http_port directive. Unfortunately, popular modern browsers do not permit configuration of TLS/SSL encrypted proxy connections. There are open bug reports against most of those browsers now, waiting for support to appear. If you have any interest, please assist browser teams with getting that to happen. Meanwhile, tricks using stunnel or SSH tunnels are required to encrypt the browser-to-proxy connection before it leaves the client machine. These are somewhat heavy on the network and can be slow as a result."... ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ mis disculpas pues ahora mismo no tengo tiempo para traducirlo pero si pudiste leer algo(espero que si) veras que entre otras cosas, éticamente puede no ser recomendable hacer este tipo de cosas. Igualmente existen otras herramientas y soluciones pero algunas son comerciales por lo que quedan fuera del tópico de la lista, pero... de poder hacerlo, se puede, saludos, -- Michael González Medina Administrador de Red Empresa de Informatica y Comunicaciones del Ministerio de la Agricultura(EICMA) -- M.Sc. Alberto García Fumero Usuario Linux 97 138, registrado 10/12/1998 http://interese.cubava.cu Una conclusión es el punto en que usted se cansó de pensar. ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
