[erledigt] Contentfilter-Probleme ... Ursache und Workaround

Hallo
ich hab leider seit gestern Mittag etwa das Problem, dass ich von der Arbeit aus leider nicht mehr hier ins Forum schauen kann. Sry wusste nicht zu welchen Thema das denn wohl passen kann deswegen hier.
Es kommt eine Fehlermeldung von unserem Contentfilter. Es wird wohl ein kaputtes Zipfile verschickt beim Laden des Boards, naja zumindest versucht. Deswegen wird die ganze seite geblockt.
Kennt das vielleicht jemand so oder ähnlich? Oder besser weiß jemand wie ich das umgehen kann? Meine IT Abteilung will das Forum leider nicht freischalten 🙁

Ich würd sie gerne posten aber ich hab vorhin vergessen sie mir zuschicken. Wenn nötig hol ich das dann morgen nach.

Danke

Das sieht wohl eher danach aus das euer Contentfilter irgendwas schlechtes mit dem HTTP-Header macht. 😉

Hallo Melone,

das myCSharp.de liefert die (HTML-)Seiten GZIP-komprimiert aus. Das bereitet im Normalfall keine Probleme und wird von den gängigen Browsern automatisch unterstützt. Deshalb merkt man davon in der Regel auch nichts.

In der ganzen Zeit, in der dieses Forum betrieben wird, habe ich genau einmal davon gehört, dass es Probleme mit einem Content-Filter wegen dieser GZIP-Komprimierung gab. Daher gehe ich davon aus, dass die Ursache in dem verwendeten Content-Filter und/oder seine Konfiguration liegt. Ich wüsste auch nicht, wie ich von myCSharp.de Seite das Problem lösen könnte, außer natürlich die GZIP-Komprimierung komplett abzuschalten. Deshalb möchte ich dich bitten, das Problem erneut bei deiner IT-Abteilung zu platzieren. Du kannst auch gerne darauf hinweisen, dass die GZIP-Komprimierung ein Standard-Funktionalität der Forensoftware ist und nicht selbstgestricktes.

herbivore

Gestern gab es scheinbar Zugriffsprobleme... ich konnte zeitweise auch nicht auf das Forum zugreifen..

Hm ok danke schonmal.

Ich werd das wohl noch mal mit denen besprechen. Das komische ist ja nur das es halt von einem Moment auf den anderen nicht mehr funktioniert hat.

Hallo Melone,

das ist ein weiteres Indiz für den Content-Filter. Deren Filterregeln können meines Wissens ähnlich wie die Virensignaturen von AntiViren-Programme aktualisiert werden. Dagegen bin ich mir auf myCSharp.de-Seite keiner Änderung in der letzten Zeit bewusst, die Einfluss auf die GZIP-Komprimierung gehabt hätte.

herbivore

Ich habe in der Firma das selbe Problem (ging auch von der einen Minute auf die andere nicht mehr).
Bei mir kommt die Meldung:
"The requested file was infcted. The site is blocked." oder so ähnlich und der Scanner ist meines Wissens nach AVG, werde aber am Montag nochmals die IT kontaktieren und das mit der GZIP-komprimierung erwähnen...

Hallo Melone, hallo CaptainIglo,

sollten eure Nachforschungen wiedererwartend Gründe für die Sperre ergeben, die wir auf myCSharp.de-Seite abstellen können, wären wir natürlich sehr interessiert, diese zu erfahren.

herbivore

Hatte heute nochmals Kontakt mit unserer IT:
Meine Firma hat keine Firewall o.ä. nur der Proxy blockiert Seiten auf welchen er einen Virus o.ä. findet, was auch nicht abzuschalten ist. Von Seiten der Admins wird NICHTS gesperrt...
Folgende Meldungen erhalte ich:

Beim 1. Aufruf:

ISVW Security Event
Trend Micro InterScan VirusWall 6 has determined that the file you are attempting to transfer is infected. It has taken action on the file.

Bei jedem weiteren Aufruf (am selben Tag):

ISVW Security Event
The URL you are attempting to access has been blocked. Organization policy prohibits accessing this type of site. If you have any questions, contact your administrator.

Ist es vielleicht möglich, das ihr für 1-2 Tage die erwähnte GZIP-Komp. abschaltet um zu testen, ob es daran liegt?

Hallo CaptainIglo,

danke, soweit. Wir können das gerne zusammen testen. Schick mir am besten eine PM mit deine ICQ-, MSN- oder Skype-ID, damit wir das koordinieren können. Ich würde die Komprimierung ungerne länger abschalten als nötig.

herbivore

Hallo zusammen,

CaptainIglo und ich haben das gerade getestet. GZIP-Komprimierung abgestellt, Seite konnte geladen werden. GZIP-Komprimierung eingestellt, Seite wurde geblockt.

Nun ist aber die GZIP-Komprimierung ein gebräuchlicher Teil des HTTP-Standards (siehe RFC2616 Abschnitt 3.5 Content Codings und 14.3 Accept-Encoding) und sollte somit von jedem Contentfilter unterstützt werden. Wenn das bei "eurem" Contentfilter nicht der Fall ist, ist das auf jeden Fall eine Meldung an den Hersteller des Contentfilters wert.

Es gibt jedoch einen schnellen Workaround zumindest für den Firefox:

In die Adresszeile "about:config" eingeben und in der Einstellung "network.http.accept-encoding" das Wort "gzip" (natürlich inkl. des Leerzeichens und des Kommas) löschen.

Das gaukelt dem Web-Server vor, dass der Browser keine GZIP-Komprimierung beherrscht, worauf die angeforderte Seite unkomprimiert ausgeliefert wird. Das ist dann allerdings eine globale Einstellung des Firefox und verhindert die GZIP-Komprimierung bei allen Webservern.

herbivore

Hallo,

also ich kann das ganze wie beschrieben bestätigen, denn ich schreibe diese Nachricht gerade aus der Firma per FireFox...

mfg

P.S.: Ich werde noch versuchen, dem Problem mit der GZIP-Komprimierung zu analysieren bzw. den IE zu konfigurieren, dass es auch da geht.

Hallo

auch ich melde mich doch endlich mal wieder.

Also bei mir liegt es daran das der IE7 anscheinend Probleme bereitet. Hab jetzt wieder IE6, damit gehts.

Das Firefox workaround klappt leider auch nicht bei mir.

Jetzt ist natürlich die große Frage, warum blockiert der Contentfilter, wenn ich den IE7 benutzen aber beim IE6 nicht.

Hallo Melone,

vielleicht unterstützt der IE6 keine GZIP-Komprimierung. 🙂

herbivore

upps nehm alles zurück Workaround funktioniert
vielen dank dafür echt.

Ich kämpfe mit dem Problem schon seit Monaten. Leider blockiert bei mir schon der ISP (bzw. dessen Proxy Interscan) den Versuch, und nicht erst der Browser. Einziger Workaround ist für mich, über einen WebProxy zu gehen, der offenbar keine Problem mit dem GZIP-Format/Inhalt hat und dann einfach umkomprimiert weiterleitet.

Hab grad nochmal geforscht und das gefunden:

Solution: When IWSS is used as the HTTP proxy, access to web sites are blocked and the Corrupted_Zip_File error appears even if compressed files are not downloaded. These errors only occur in the IWSS HTTP proxy mode and ICAP mode, as well as when the browser used is configured to use HTTP 1.1.

The errors only affects HTTP 1.1 because the web server of the visited web site only returns the site content in GZIP format when the request is from HTTP 1.1. In HTTP, the web server displays the site content in plain text. Also, the scan engine returned the Corrupted_Zip_File error while attempting to read the header field of a GZIP data block.

Decompressing using the GZIP tool returns an error that is categorized by VSAPI as a corrupted ZIP file. Also, the inability of VSAPI to identify the real corrupted ZIP file is due to the GZIP's incomplete header in the last segment and there is not enough information to extract with confidence. In the case of IE/WinZip, the brute force method of decompression is used. The method decompresses without much parity check, because of this all site contents are shown on the web site. However, such decompression method compromises security and the probability of a virus is valid.

Der Satz "The errors only affects HTTP 1.1" ist dann auch die Rettung. Im Browser Http 1.1 (und damit auch GZIP) abschalten und schon macht der Proxy keinen Streß mehr.

Meine IT hat mir gestern mitgeiteilt, das die Seite wieder gehen würde, was sie nun auch "überall" tut,habe aber keine ahnung, was sie geändert haben...

Kannst du das vielleicht mal nachfragen das würd mich interessieren.
Bei meinen Kollegen tut sie es nämlich nicht und es kann ja nun eigentlich keine Lösung sein über all die Komprimierung auszuschalten.

Original von Melone
es kann ja nun eigentlich keine Lösung sein über all die Komprimierung auszuschalten.

Aus deiner Sicht wohl kein Problem, wenn du nicht gerade mit Modem oder ISDN unterwegs bist. Für MyCSharp eventuell eher, weil das Volumen steigt.

Ansonsten gibts für den IWSS nen Patch, der das behebt.

Aus meiner Sicht auch, weil ich einfach nicht jedes Mal wenn ich an einem anderen Rechner hier sitze diese Option umstellen möchte. Sondern das zentral von der IT erledigen lassen möchte.