Menu Chiudi

Pillola #46: Dansguardian e Google, come filtrare i contenuti

Google e la navigazione tramite https

Premessa:
– Dansguardian NON e’ in grado di filtrare i contenuti su richieste di tipo HTTPS

Questo significa, in particolare, che qualsiasi ricerca effettuata tramite https://www.google.com NON può essere filtrata da Dansguardian. Si noti anche che, se fa login ad un qualsiasi servizio google, il servizio search verrà sempre utilizzato sotto ssl.

Soluzione:
Google ha previsto un modo per disabilitare l’accesso al servizio search sotto ssl, in ambito aziendale, si veda il link a fine pagina. Il metodo consiste nel modificare la configurazione dei dns interni per far si che tutte le richieste verso , ad esempio, www.google.com e www.google.it vengano reindirizzate a nosslsearch.google.com .
– in questo modo, se Google riceve una richiesta di ricerca tramite la porta 443, la connessione ssl viene portata a termine correttamente, ma l’utente viene successivamente reindirizzato a una ricerca non SSL.
– l’utilizzo dell’indirizzo NoSSLSearch non incide sugli altri servizi Google diversi da Ricerca. L’accesso a Gmail, Google Apps e l’autenticazione su servizi diversi continueranno a funzionare (e saranno possibili tramite SSL).

DNS di M$:
– configurare due zone  “www.google.com” e “www.google.it”
– aggiungere l’alias “nosslsearch.google.com” alle due zone

DNSMASQ:
– dnsmasq NON e’ in grado di gestire gli alias (CNAME) nel modo “classico” (es. come bind o dns di M$)
– nel caso in cui sia disponibile un DNS interno (bind o M$) è possibile dirottare le richieste a www.google.com e www.google.it nel modo seguente

server=/www.google.com/IP_DEL_SERVER_DNS
server=/www.google.it/IP_DEL_SERVER_DNS

NB.è indispensabile che il server proxy risolva gli indirizzi www.google.com e www.google.it usando questa configurazione, cioè puntando a nosslsearch.google.com.

SafeSearch di Google
Google mette a disposizione un proprio sistema di content-filtering detto SafeSearch.

Tramite Dansguardian è possibile forzare l’utilizzo di safesearch inserendo le opportune configurazioni nel file /etc/dansguardian/lists/urlregexplist :

"(^http://[0-9a-z]+\.google\.[a-z]+[-/%.0-9a-z]*/search\?)(.*)(&?)(safe=[^&]*)"->"\1\2\3"
"(^http://[0-9a-z]+\.google\.[a-z]+[-/%.0-9a-z]*/search\?)"->"\1safe=strict&"

"(^http://[0-9a-z]+\.google\.[a-z]+[-/%.0-9a-z]*/images\?)(.*)(&?)(safe=[^&]*)"->"\1\2\3"
"(^http://[0-9a-z]+\.google\.[a-z]+[-/%.0-9a-z]*/images\?)"->"\1safe=strict&"

"(^http://[0-9a-z]+\.google\.[a-z]+[-/%.0-9a-z]*/s\?)(.*)(&?)(safe=[^&]*)"->"\1\2\3"
"(^http://[0-9a-z]+\.google\.[a-z]+[-/%.0-9a-z]*/s\?)"->"\1safe=strict&"

Ogni coppia di link gestisce la riscrittura di un path: la prima gli i “search?”, la seconda gli “images?”, la terza i “s?”

Servizi Google che utilizzano https
Come riportato sopra, servizi come gmail continuano a funzionare tramite https.
Per consentire l’utilizzo di tali servizi, se si utilizza la funzione di blocco selettivo di dansguardian (“Blanket SSL/CONNECT Block”, **s nel file bannedsitelist) il file /etc/dansguardian/lists/greysitelist va modificato nel modo seguente

# abilito gmail
google.it
google.com
googleusercontent.com
gstatic.com

googleusercontent.com è l’host che gestisce, ad esempio gli allegati ai messaggi di posta gmail, gstatic.com è il riferimento per le icone usate in bottoni ed altro nei servizi google.Volendo si può abilitare anche google-analytics:

 # abilito google analytics (non indispensabile, ma evita continue segnalazioni a livello di log) 
google-analytics.com

 


Link di approfondimento: https://support.google.com/websearch/?hl=it&rd=2#topic=3036131

WordPress Appliance - Powered by TurnKey Linux