PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : HTTPS deaktivieren?


Simius
2011-03-03, 10:22:38
Hi!

Mittels eines Sicherheitsprogrammes hab ich diverse Internetseiten, es geht in erster Linie um Facebook, gesperrt. Wenn man facebook normal in den Explorer eingibt kann man Facebook (oder diveres Pornoseiten) nicht ansteuern. Für einen Laien nutzt dies sehr viel.

Leider sind solche Aktionen notwendig weil sehr gerne Pornoseiten angeschaut werden.

Doch die Facebook-Sperre lässt sich extrem leicht aushebeln. Man muss einfach https statt http eingeben und schon geht es! Das wird wohl auch für Porno-Seiten gelten!
Die Stichwörter wie „Proxy“ sind alle deaktiviert! Aber es geht ja viel einfacher indem man einfach https vorne eingibt!
Ich kann ja auch bei meinem Sperrprogramm https zur Sperrung vorschlagen! Doch das funktioniert NICHT!

Jetzt generell die Frage:
Wie lässt sich verhindern dass besonders Facebook nicht mehr unter https angesurft wird? Kann man es irgendwie im Internet-Explorer deaktivieren dass dieser Sicherheitsmodus nicht mehr mehr? Es nutzt nichts, wenn ich die höchste Sicherheitsstufe einstelle. Dann geht’s trotzdem.

Generell wär es also schön zu wissen wie man es deaktiviert, dass man HTTPS Seiten ansteuern kann!

Vielen Dank für eure Hilfe, ich bitte um Tipps!

Lg Michael

Black-Scorpion
2011-03-03, 10:26:28
host Datei? Facebokk IPs auf Local umleiten.

Simius
2011-03-03, 10:58:10
Das Problem ist dass ich nicht alles, was mit Facebook zu tun hat, in diese Host-Datei eingeben kann. Facebook hat ja so viele Anmelde-Adressen, da kann man doch nicht alles sperren. Es reicht ja nicht, wenn ich da www.facebook.de eingebe...

Leider hab ich keinen Zugriff auf unseren Server, da hab ich keine Passwörter. Nur eben Admin-Passwörter für die einzelnen Rechner.

Gibts vl. einen Firewall der alles zuverlässig deaktiviert? Irgendeine Freeware? Scheinbar lässt sich mein Programm extrem einfach umgehen...

Haarmann
2011-03-03, 11:06:37
Eigener DNS

Facebook abgreiffen - fertig

Simius
2011-03-03, 11:13:35
Mhm, danke... gibts hier spezielle Empfehlungen die man nehmen könnte?

Gast
2011-03-03, 11:18:15
Solange kein HTTPS benötigt wird kann man das auch komplett in der Win Firewall blocken.

Simius
2011-03-03, 11:22:40
Mhm, was müsst ich da für eine Einstellung wählen?

sei laut
2011-03-03, 12:28:40
Erweitere Einstellungen -> neue ausgehende Regel, dann Port -> TCP -> 443 - Verbindung blockieren

Birdman
2011-03-03, 12:32:03
Erweitere Einstellungen -> neue ausgehende Regel, dann Port -> TCP -> 443 - Verbindung blockieren
Damit laufen dann aber z.B auch keine Windows Updates mehr - ausser man setzt einen eigenen WSUS im Netzwerk ein.

Simius
2011-03-03, 13:06:54
Hm, erstmal noch die Frage, wie aktiviere ich die erweiterten Einstellungen beim Firewall? Ich kann da gar keine Regeln erstellen.

Wie muss man den Firewall mit erweiterten Sicherheitseinstellungen aktivieren?

sei laut
2011-03-03, 13:09:39
Damit laufen dann aber z.B auch keine Windows Updates mehr - ausser man setzt einen eigenen WSUS im Netzwerk ein.
Warum sollten die Updates verschlüsselt übertragen werden?

@Simius: Welche Windowsversion überhaupt? Die Angaben sind für Win 7, aber im Grunde muss man sich nur ein bsischen durch die Windows-Firewall klicken, dann findet mans.

Simius
2011-03-03, 13:19:42
Es ist Win 7 und XP, ich probiers grad mit Win 7...

Wenn ich in die Firewalleinstellungen gehe komme ich zu "Allgemein/Ausnahmen/Erweitert". Doch unter "Erweitert" kann ich nur einstellen welche Verbingungen geschützt werden sollen. Bei "Ausnahmen" kann ich Ports bzw. Programme hinzufügen.

EDIT: Ok, man muss den erweiterten Firewall erst öffnen. Dann gehts mit den Regeln.

Simius
2011-03-03, 14:19:02
Also, habs genau so gemacht wie beschrieben. Hab eine ausgehende Regel erstellt für den Port 443.

https://www.facebook.com öffent dennoch...Mist :(

Soll ich eine bessere Firewall downloaden und hier die Ports sperren? Bringt sich das mehr?

Rolsch
2011-03-03, 14:35:07
http://www.windowslive.de/Family-Safety/

Simius
2011-03-03, 14:39:03
mhm... und hier kann keiner einfach so die gesperrten seiten mit "https" starten und loslegen?

Rajin the troll
2011-03-03, 15:30:06
Also ich würde dir empfehlen etwas zu investieren und einen Proxyserver aufzusetzten mit einem contentfilter (z.B. mit squid und einem der passenden Contentfilter, gibt aber auch etliche commerzielle alternativen), und anschliesend bei der Firewall im/am Router für die webports (80 und 443) nur ausgehende Verbindungen über den Proxy erlauben.

Damit kanst du relativ viel einfach und schnell erschlagen (edit: z.b. auch nen virenscanner integrieren, so das der gesamte internettraffic auch gleich überprüft wird. Am besten dan natürlich eine andere scannengine als auf den Widowsclients).

Gruß Rajin

Simius
2011-03-04, 07:30:39
Gibts sowas auch als Freeware? Einen Proxy mit so einem Filter? Bzw. Firewall?

Gast
2011-03-04, 08:05:23
Also, habs genau so gemacht wie beschrieben. Hab eine ausgehende Regel erstellt für den Port 443.

https://www.facebook.com öffent dennoch...Mist :(

Soll ich eine bessere Firewall downloaden und hier die Ports sperren? Bringt sich das mehr?

Du must natürlich ausgehend und eingehend blockieren.

jorge42
2011-03-04, 08:15:02
[QUOTE=Simius;8599519

Leider hab ich keinen Zugriff auf unseren Server, da hab ich keine Passwörter. Nur eben Admin-Passwörter für die einzelnen Rechner.
[/QUOTE]
ist das in einer Firma? Wer hat denn Zugriff auf die Firewall? DORT ist die Stelle an der man ansetzten muss, nicht an der PCs. Das ist doch von hinten durch die Brust ins Auge.:rolleyes:

Simius
2011-03-04, 08:29:35
Tjo, wenn ich da um Hilfe frag wird das nie erledigt. Das kann ich immer noch tun, daher will ich das erstmal selber lösen.

Rajin the troll
2011-03-04, 09:06:44
Gibts sowas auch als Freeware? Einen Proxy mit so einem Filter? Bzw. Firewall?

Freeware glaub nicht, aber als frei nutzbare OSS.
Squid + ein Content Filter (z.b. Squidwall) auf ‘nem Linux System.
Die Konfiguration ist allerdings nicht ganz ohne und man sollte sich schon mit Linux auskennen.

Ohne Zugang zur Firewall nach Außen ist das aber ..... nutzlos.

Zudem sollte man Gerade in ‘nem Unternehmen vorher einiges Prüfen.
1. Wer soll Internetzugang haben
2. Für alle beschränkt/für einzelne Beschränkt.
3. Gibt es Software die einen Internet Zugang benötigt?
4. Hat diese Software Probleme mit Proxys?
5. Ist von der Unternehmensführung/Betriebsrat ein ok für die Filterung da?
6. Ist private Internet Nutzung gestattet? (Wenn ja Datenschutz beachten)
7. etc.

Kurz gesagt, gerade bei größeren Netzten sollte man sich in Ruhe vorher überlegen was man genau will, und vor allem mit ALLEN Verantwortlichen im Netzwerk vorher abklären. Nicht das dann plötzlich die Software die da auf dem DOS Rechner in der Ecke seit 40 Jahren unbeachtet das ganze Unternehmen am Laufen hält nicht mehr tut (Und ja das gibt es überraschend oft)

Gruß Rajin.

Edit sagt: Rechtschreibung ist schwer bitte nochmal *grinst*

Simius
2011-03-04, 09:14:59
Ja, wie gesagt, wenn ich es nicht lösen kann, kann ich immer noch bei der Zentrale fragen. Weil es eben dann ewig lange braucht (oder gar nicht) wollt ich es erstmal selber probieren. Ich weiß, dass es ohne Serverzugang schwer ist.

Ich seh ja im Verlauf, dass die Leute Facebook oder was auch immer (Sexseiten) unter https:// starten.

Nun hab ich es unter Vista geschafft HTTPS zu deaktivieren. Wie geht das unter XP? Kann das der XP-Firewall? Da gibts die erweiterten Optionen nicht so wie bei Vista. Wie füg ich hier Regeln hinzu? Sonst gibts da einen Firewall-Commander...

Macht das so überhaupt Sinn die gesicherte Verbindung zu blockieren? Oder kann man das dann auch so leicht überwinden?

Wenn die Leute sonst über Proxies ins I-net (Porno und co) gehen lässt sich das Stichwort "Proxy" bei meinem Sperrprogramm ja sperren...

Rajin the troll
2011-03-04, 09:27:37
Von was für einem Sperrprogram reden wir denn?
Hast du eventuell mal beim Hersteller selber nachgefragt.

Simius
2011-03-04, 09:38:29
Unter Vista hab ichs mal hinbekommen, dass der Vista-Firewall die HTTPS Verbingungen blockiert und das Programm (Parents Friend) Stichworte wie Proxy..

Aber wie kann ich den XP-Firewall so einstellen?

Rajin the troll
2011-03-04, 14:22:53
Unter XP müsste es so gehen.

IPSeccmd.exe -w REG -p "Block TCP 443 Filter" -r "Block Outbound TCP 443Rule" -f 0=*:443:TCP -n BLOCK

Allerdings ungetestet (Hab kein laufendes XP System mehr unter mir.)

Allerdings solltest du dir wirklich nochmal überlegen ob das was du gerade machst wirklich die richtige Lösung ist.

Hab mir auch mal dieses lustige Sperrprogrämchen angesehen.
Fals wir hier von nem Unternehmen reden solltest du Hoffen das da keiner mal das wörtchen Datenschutz und Mitarbeiterüberwachung in den Mund nimmt. Denn wozu das Teil in der Lage ist (Wenn man es nicht mit ein paar wenigen Kentnissen abschält *g*) dürfte im Unternehmensumfeld definitiv nicht zulässig sein.

Gruß Rajin

Rolsch
2011-03-04, 14:45:13
Hab mir auch mal dieses lustige Sperrprogrämchen angesehen.
Fals wir hier von nem Unternehmen reden solltest du Hoffen das da keiner mal das wörtchen Datenschutz und Mitarbeiterüberwachung in den Mund nimmt. Denn wozu das Teil in der Lage ist (Wenn man es nicht mit ein paar wenigen Kentnissen abschält *g*) dürfte im Unternehmensumfeld definitiv nicht zulässig sein.
Das ganze klingt sowieso nach einem Praktikanten-Admin-Amoklauf.

BoRaaS
2011-03-04, 14:56:19
Wenn das euer Datenschutzbeauftragter mitbekommt was du da installierst, dann kannst du dich schon einmal von deinem Job verabschieden. Das Programm geht imho weit darüber hinaus was legal in Firmen verwendet werden darf, auch wenn du evt. Sachen davon nicht verwendest.
Also, das ding muss von den Clients runter und eure Zentrale soll sich ein ordentliches Proxy und Contentfilter Konzept überlegen.
Edit: Da war jemand schneller..

Simius
2011-03-04, 18:10:58
Nur weil man was fragt wird man blöd als Praktikant angemault?

Was spricht dagegen, es selber zu probieren, bevor man die EDV fragt? Ich hab ja gesagt, dass solche Dinge üblicherweise länger dauern! Oder man nimmt sich da der Sache gar nicht an!

Wer sagt, dass ich die Überwachungs-Funktion dieses Programmes nutze? Das brauche ich nicht, denn ich sehe, dass die Leute Pornos ansehen oder Facebook nutzen, da brauch ich die Funktion (welches das Programm hat), ja gar nicht erst aktivieren. Es geht hier ja auch nicht um Mitarbeiter!

BoRaaS
2011-03-04, 18:24:59
Das hat ja auch niemand behauptet das du diese "Überwachungsfunktionen" benutzt, aber glaub mir, man bekommt ziemlichen Ärger wenn sowas raus kommt das die Software solche Funktionen besitzt und man das vorher nicht mit Betriebsrat/Datenschutzbeauftragtem abklärt.
Kleines Beispiel dazu, wir haben in der Firma eine Softwareverteilung, die es prinzipiell erlauben würde ein Tracking zu machen, wie oft eine installierte Software genutzt wird, das mußte vorher beim Betriebsrat und dem Datenschutzbeauftragten angemeldet werden. Und wir wollten das Feature nichtmal benutzen, aber die Software hat es halt integriert.....
Btw. rein aus Interesse, was bist du wenn du die lokalen Adminpasswörter hast, aber nicht zur EDV gehörst ? So ne Art "Vor-Ort-Service"?

Simius
2011-03-04, 18:31:07
Von meinen Vorgesetzten gibts da keine Probleme, die finden das gut, dass sich jemand darum kümmert.

BoRaaS
2011-03-04, 18:36:25
Deine Vorgesetzten sind aber nicht der Betriebsrat oder Datenschutzbeauftragter....... Ist ein wirklich ernst gemeinter Rat das ordentlich absegnen zu lassen. Du hast sonst schneller eine Abmahnung etc. als dir lieb sein wird. Normalerweise wird sowas auch in einer Betriebsvereinbarung geregelt das der Internetverkehr "limitiert" etc wird.

Birdman
2011-03-04, 18:59:13
Warum sollten die Updates verschlüsselt übertragen werden?

Weil dir ansonsten jeder dahergelaufene Scriptkiddy mit einem simplen DNS Fake jeglichen gewünschten Exploit unterschieben kann.

Schon seit Jahren laufen alle grösseren Autoupdate Plattformen nur noch über https...
Kannst ja direkt mal bei deinem Firefox schauen was passiert wenn du da auf "suche nach updates" klickst. (netstat -an |find "443" parallel dazu im cmd prompt ausführen)

Simius
2011-03-14, 13:10:47
Prinzipiell gehts hier nicht um Mitarbeiter, sondern um Jugendliche, welche betreut werden. Und da soll halt verhindert werden (immer kann man nicht auf den Bildschirm schauen) dass Facebook, Sexseiten usw. nicht angeschaut werden. Es geht hier nicht darum, Mitarbeiter am Surfen zu hindern.

Im Prinzip hab ich mit dem tollen Programm jetzt so viel gesperrt, Facebook mit https, das Stichwort Proxy (und sonstige Stichwörter die damit zu tun haben), diverse Proxyserver, Sex-Stichworte usw...

Dennoch bekommen die Leute es hin, die Seiten anzuschauen. Zumdindest die, die von PCs Ahnung haben. Für Laien reicht es zu 100% und sie können dann produktiven Tätigkeiten nachgehen.

Wenn ich es dann nachher probiere, also https://facebook.org gehen die Seiten sofort zu.

Kann man das so leicht knacken?

Rajin the troll
2011-03-14, 16:01:46
Kann man das so leicht knacken?

mmmm ja.

Also mich hatts ca. 30 min Basteln gekostet.
Im allgemeinen kann man allerdings 2 dinge sagen.

1. Was auf dem Client passiert kann umgangen werden (Daher am besten Contentfilter und Virenscann bereits in der Firewall)
2. Absolute sicherheit gibt es nie (SSH Tunneling und ähnliche scherzchen sind recht schwer zu blockieren)

Coda
2011-03-14, 16:59:43
Sperr einfach 69.63.176.0 - 69.63.191.255 und 204.15.20.0 - 204.15.23.255

Das sind die Netblocks von Facebook. Done.

Simius
2011-03-15, 08:16:05
Danke für eure Nachrichten.

Ich frag mich wirklich, wie man das Ganze wirklich knackt. So der Experte bin ich da nicht. Wobei die User ja auch keine Admin-Rechte haben.

Scheinbar ist es mehr, als einfach nur alles unter https:// zu starten. Das hab ich ja gesperrt.

Wenn man diese Facebook Netblocks sperrt... macht das mehr aus als wenn ich "nur" das Wort Facebook (und diverse Facebook-Domains) sperre? So ist es ja jetzt der Fall...

Lokadamus
2011-03-15, 08:52:39
Was spricht dagegen, es selber zu probieren, bevor man die EDV fragt?mmm...

Naja, weil die EDV für solche Sachen da ist ;).

Bei einem Kunden haben wir Squid + Dansguardian + urlblacklist am Laufen, um Seiten zu sperren. Dansguardian und urlblacklist kosten allerdings Geld, außer es wird unter bestimmten Bedingungen eingesetzt.
http://dansguardian.org/
http://urlblacklist.com/

Alles bekommt man eh nicht rausgefiltert, da einige wieder über Proxys/ Webseiten gehen, die keiner kennt ;(.

Coda
2011-03-15, 20:07:15
Wenn man diese Facebook Netblocks sperrt... macht das mehr aus als wenn ich "nur" das Wort Facebook (und diverse Facebook-Domains) sperre? So ist es ja jetzt der Fall...
DNS-Sperren nützen nicht. Das ist viel zu einfach zu umgehen.

Die IP-Sperren sind sowohl einfacher, vollständiger als auch sauberer. Wenn du das in einem Router o.ä. machst bist du 100% sicher, dass keiner drauf kommt.

Rente
2011-03-15, 21:49:18
Für Schulen gibt es auch extra Filtersoftware die absolut regelmäßig gepflegt wird, ein reiner White-List-Betrieb ist auch möglich (dann gehen aber natürlich hin und wieder Sachen nicht) unbekannte Seiten können automatisch an den Hersteller zu Überprüfung weitergegeben werden (meist sind die Ergebnisse schon nach 3 Tagen im nächsten Update drin) und eben auch das zusätzliche zentrale Eintragen von IP-Adressen in eine Blacklist wird angeboten - das ganze kombiniert mit einem transparenten Proxy und es sind nahezu alle normalen Fälle abgedeckt, mehr geht dann meines Wissens nur mit guten Hardwarefirewalls.

Die Software heißt Schulfilter + (http://www.schulfilterplus.de/), setzt mein Arbeitgeber (Stadt) in gut 20 Schulen ein, Lehrer haben dafür jeweils einen Account um vorübergehend Seiten freizuschalten.

Umsetzten muss so etwas letztendlich aber auch wieder dein/euer IT-Dienstleister, wäre nur ein Ansatz ohne viel Gefrickel.
€: Protokolle lassen sich damit natürlich auch "sperren". Unter dem Schulfilter läuft letztendlich auch ein Squid-Server.

Gast
2011-03-15, 23:32:26
Die IP-Sperren sind sowohl einfacher, vollständiger als auch sauberer. Wenn du das in einem Router o.ä. machst bist du 100% sicher, dass keiner drauf kommt.
Das stimmt zwar, IP-Sperren sind dafür aber genausowenig zuverlässig wie DNS-Sperren. Zur Umgehung wird nur eine beliebige Gegenstelle hinter dem erwähnten Router benötigt. Das kann ein Proxy, ein VPN-Server, ein daheim selbst betriebener DNS-Server, oder irgendeine andere von hunderten unterschiedlichen Tunnelmöglichkeiten sein. Die Optionen sind hier nur durch die eigene Phantasie und Aufwandsbereitschaft begrenzt. Diese externen Gegenstellen lassen sich auch nicht zu 100% sperren, nicht mal durch eine Zugriffssteuerung rein auf Basis weißer Listen.
Die einzige Möglichkeit wäre die Analyse des Netzverkehrs, Auswertung von Verbindungsstatistiken, Erkennung von Anomalien, aber auch dadurch lässt sich das Umgehen solcher Sperren nicht verhindern, man kann nur ggf hinterher herausfinden, dass sie wahrscheinlich umgangen worden sind.

Rajin the troll
2011-03-16, 08:54:52
Natürlich kann man nicht eine absolute sicherheit erreichen.

aber mit einer vernünftigen Serverbasierten Lösung (Bzw. Hardwarefirewall) dürfte mal für 99,9% der Nutzer eine umgehung verhindert haben (Auser natürlich es ist ne Informatikuni :-).

Eine umgehung von Schutzmaßnahmen via VPN/SSH Tunneling/etc. dürfte wohl für den Großteil zu kompliziert und aufwändig sein.

Simius
2011-03-16, 09:38:39
Danke für eure Antworten.

Jetzt hab ich die Facebook IPs gesperrt, mal sehen, ob es Wirkung zeigt. Und diverse Pornoseiten, welche - wie selbst gesehen - angeschaut werden.

Ich würd ja wirklich gerne mal sehen wie genau diese Sperren umgangen werden. Ich selber bin dafür zu blöd ;). Denn wenn ich bei Google nach "Proxys" suche geht der Browser ja sofort zu. Das Wort ist ja blockiert ;).

Prinzipiell zeigen sie aber teilweise Wirkung: Es werden die Notebooks ausgetauscht, ergo setzen sich die Jugendlichen an andere PCs bei denen ich die Blacklist noch nicht so erweitert habe.

Natürlich bleibt es dabei, eine Serverlösung wär gescheiter.

Lokadamus
2011-03-16, 09:42:35
Denn wenn ich bei Google nach "Proxys" suche geht der Browser ja sofort zu. Das Wort ist ja blockiert ;). mmm...

:| Such mal nach proxy und proxie. Selbst, wenn du nur nach prox suchst, findet Google was zum Thema Proxy ;) ...

Simius
2011-03-16, 10:24:42
Sind glaub ich auch deaktiviert :)

Gast
2011-03-16, 21:25:01
Du blockierst jede Seite auf der die Zeichenkette "proxy" steht? Oder jede in der "proxy" in der URL vorkommt?
Davon ausgehend, dass "proxy" nicht das einzige Wort ist welches eine Sperre auslöst, sondern es noch viele weitere gibt, blockiert deine Software wahrscheinlich willkürlich Millionen Seiten, auf denen zufällig diese Zeichen stehen.
Wird diese Adresse auch blockiert? http://www.google.com/search?safe=off&q=%70%72%6F%78%79
Was ist wenn die Parameter nicht per GET wie oben, sondern per POST übermittelt werden und gar nicht in der Adresse auftauchen? Den meisten Webseiten ist es egal, auf welchem Weg die Anfragen übertragen werden.

Simius
2011-03-17, 09:31:16
Man kann den Inhalt sperren, oder die Webseite, in denen "Proxy" vorkommt.

Die Seiten, die angeschaut werden sollen, gehen auch...

Generell glaub ich, das Programm wird mittels Befehl in die CMD-Eingabezeile geknackt. Jetzt hab ich da mal den Zugriff gesperrt bzw. auch auf die Registry.

Nutzt aber auch nicht wirklich was, die, die sich auskennen, können dennoch Pornos schauen. Gibts irgendwelche Windows-Sicherheitsrichtlinien, welche man noch einstellen könnte, die das Programm sicherer machen? Also, dass man es nicht so einfach knacken kann?

Rajin the troll
2011-03-17, 11:33:50
Ok ich schreib jetzt nochmal was dazu.

Der Hauptschwachpunkt beidiesem lustigen progrämmchen ist das es als Prozess und nicht als Dienst läuft. Es sind zwar 2 Prozesse, der eine um den anderen zu schützen aber das hilft in dem fall leider auch nicht viel mehr.

Simius
2011-03-17, 14:04:15
Man kann ja unter gpedit viel einstellen was die Userrechte betrifft. Registry und cmd sind kein Problem, oder auch den Taskmanager selber.

Aber wie schon gesagt, für Laien reichts, für alle anderen nicht.

Heute hab ich gesehen, wenn man fb-cdn.com eingibt kommt man sofort auf facebook. Da nutzt die Sperre nix! Da muss man erst fb-cdn sperren...

Lokadamus
2011-03-17, 14:12:22
mmm...

Wie coda schon gesagt hat, solltest du den IP- Bereich sperren.
http://www.robtex.com/ip/69.63.181.11.html
http://www.robtex.com/dns/fbcdn.net.html

Simius
2011-03-17, 14:39:51
Ja, hab ich.

Dürfte wohl nix nutzen wenn man weiß, dass fb-cdn.com die Sache umgeht... Ist aber natürlich auch schon auf der Blacklist.

Lokadamus
2011-03-17, 15:15:23
Dürfte wohl nix nutzen wenn man weiß, dass fb-cdn.com die Sache umgeht... Ist aber natürlich auch schon auf der Blacklist.mmm...

:| Du hast keine Ahnung, was die Links, die ich gepostet habe, sagen, oder?

Rajin the troll
2011-03-17, 15:17:44
Und genau bei solchen adressen wie "fb-cdn.com" sieht man sehr schön wo solche URL Filter ihre schwächen haben.
Das ist nämlich keine offizielle adresse von Facebook, sondern eine die irgendwer registriert hat auf der dann einfach auf facebook weitergeleitet wird.

Therotisch kann man solche adressen dann auch XYZ123.com nennen.

Simius
2011-03-18, 07:29:09
@Lokadamus: Sind doch alles nicht-offizielle Facebook-Adressen... eben wie fb-cdn...

Lokadamus
2011-03-18, 08:50:41
@Lokadamus: Sind doch alles nicht-offizielle Facebook-Adressen... eben wie fb-cdn...mmm...

Die alle über die eine IP läuft, es kann also noch mehr geben. Du hast definitiv nicht den IP- Bereich blockiert, den Coda genannt hat. Ansonsten würden diese Namen alle ins Leere gehen ;).

Simius
2011-03-18, 10:07:43
Schon klar warums nicht geht. Das Programm ist einfach zu blöd IPs zu sperren.

Simius
2011-03-18, 11:33:05
Ok, den IP Bereich von Facebook hab ich - zumindest auf den XP-Rechnern - per hosts Datei gesperrt.

Gibts diesen Bereich auch für Youtube?

Avalox
2011-03-18, 12:04:15
Wie verhindert denn das Sperren der FB IPs die Verwendung von Anonymisierungsdiensten?

Auch die generelle Sperrung von HTTPS Verbindungen ist bestimmt nicht zielführend, wenn es um die allgemeine Nutzung des www geht.
Und einen Proxy der SSL/TSL aufbrechen kann ist ja nun ein großes Unterfangen und eine Sicherheitslücke obendrein, da der Proxy ja automatisch der Gegenstelle immer vertrauen muss und der Benutzer gar nicht mehr die Vertrauenswürdigkeit der Gegenseite feststellen kann.

Ein wirklich nachhaltiger Schuss ist dort echt nicht leicht und ohne diesen Schuss wird man über HTTPS immer über einen Umweg so gut wie jeden Inhalt auf den Rechner laden können.

mojojojo
2011-03-18, 13:45:03
Der einzige weg, soetwas sauber zu machen, ist über einen Proxy mit Sperr/Filterlisten.
Alles andere ist Bastelei, die aufwendig und nie wirklich optimal ist, entweder hatse riesen löcher drin, oder es ist zu leicht zu umgehen.
Wenn eure EDV-Menschen das nicht auf den Schirm kriegen, dann gehören da mal ein paar nette Worte von einem Vorgesetztem verteilt. :rolleyes:
Aber ich bewundere Deinen entusiasmus. Ganz ehrlich. :up:

Und das benutzen von Software, die man auch zum ausspionieren der User nutzen kann, muss auch dann abgesegnet werden, wenn es sich "nur" um betreute Kinder handelt. Soweit ich weiß, setzt Privatsphäre kein Beschäftigungsverhältnis vorraus wenn man so will.
Mit solchen sachen kommt man in Teufels Küche. Glaub mir.

Simius
2011-04-08, 11:10:50
Gibts eine Funktion in der Registry welche die Installation von Programmen verhindert? Sprich das Ausführen von Downloads?

Downloads lassen sich in einem Eintrag blockieren. Bzw. man kanns über den I-Explorer machen.

Wenn man die Dateien aber direkt ausführt funktioniert es aber, etwas hinunterzuladen und dann zu installieren. Also: Ausführen statt Downloaden.

Rajin the troll
2011-04-11, 10:50:19
Installationen zu untersagen ist ein etwas kniffliges Thema.

1. Nutzer nur mit eingeschränkten Rechten. Damit werden direkt alle Installationen verhindert die Systemdaten ändern, Registry Einträge setzen etc.
2. Man kann die Nutzung des Windows-Installer für normale Benutzer sperren. (Gruppenrichtlinien-> Administrative Vorlagen-> Windows-komponenten->Windows installier in der Computer und Benutzerkofiguration)
Punkt 2 Macht aber eigentlich nur in einer Domäne Sinn (Weis grad gar nicht ob das ohne überhaupt geht)

und zu guter Letzt der Unpraktischste, unhandlichste und komplizierteste weg (Aber auf so was scheinst du ja zu stehen).

Vorweg, ich bin mir gerade nicht sicher ob man dafür nicht auch wieder eine Domäne braucht.
Auch noch Vorweg. Das ist in Ruhe an einer einzelnen Maschine zu testen, man kann sich gaaaaanz leicht das System völlig zerlegen!

Es Gilt daher ausdrücklich BENUTZUNG auf eigene Gefahr!
Ich werde dir nicht helfen Wenn du damit alle Systeme zerlegst weil du nicht vorher in Ruhe und ausführlich alles getestet hast.

So das war jetzt hoffentlich genug Warnung
Der Weg geht über die Gruppenrichtlinie für Softwareeinschränkung. Dort kann man als Standartsicherheit „Nicht eingeschränkt“ (Defaultwert) oder „Nicht Erlaubt“ Wählen.
Mit dem 2. Punkt wird die Ausführung ALLER Programme verhindert.
Man muss anschließend Regeln erstellen in denen Man einzelne Programme und ausführbare Dateien erlaubt. Wenn man also ein wichtiges Programm hier vergisst (z.B. die shell Explorer.exe) geht Garnichts mehr. Die Definition der Programme kann dabei über Hashwerte oder UNC-Pfade erfolgen.

Zuletzt, sag nicht ich hätte dich nicht gewarnt.

Simius
2011-04-12, 10:46:27
Das mit dem Installer hab ich schon gemacht. Nur: Wenn das Programm nicht über den Installer installiert wird nutzt das natürlich nicht.

Im Prinzip kann man per Registry das Downloaden Sperren. Das heißt, wenn man eine Datei runterladet, geht das nicht. Gut, geht man auf ausführen, schon eher.

Über Ähnliches wie bei Punkt 2 hab ich schon nachgedacht. Ist halt die Frage wie sinnvoll dies bei derartig schlecht konfigurierten PCs ist.

Geldmann3
2011-04-13, 12:23:32
Das Problem ist dass ich nicht alles, was mit Facebook zu tun hat, in diese Host-Datei eingeben kann. Facebook hat ja so viele Anmelde-Adressen, da kann man doch nicht alles sperren. Es reicht ja nicht, wenn ich da www.facebook.de eingebe...
Also ich konnte Facebook effektiv über die hosts Datei sperren.
127.0.0.1 facebook.com
127.0.0.1 www.facebook.com
127.0.0.1 facebook.de
127.0.0.1 www.facebook.de
127.0.0.1 de-de.facebook.com


Zumindest haben es die Mitarbeiter dann nicht mehr geschafft Facebook effektiv zu verwenden...