Google e la navigazione tramite https
Premessa:
– Dansguardian NON e’ in grado di filtrare i contenuti su richieste di tipo HTTPS
Questo significa, in particolare, che qualsiasi ricerca effettuata tramite https://www.google.com NON può essere filtrata da Dansguardian. Si noti anche che, se fa login ad un qualsiasi servizio google, il servizio search verrà sempre utilizzato sotto ssl.
Soluzione:
Google ha previsto un modo per disabilitare l’accesso al servizio search sotto ssl, in ambito aziendale, si veda il link a fine pagina. Il metodo consiste nel modificare la configurazione dei dns interni per far si che tutte le richieste verso , ad esempio, www.google.com e www.google.it vengano reindirizzate a nosslsearch.google.com .
– in questo modo, se Google riceve una richiesta di ricerca tramite la porta 443, la connessione ssl viene portata a termine correttamente, ma l’utente viene successivamente reindirizzato a una ricerca non SSL.
– l’utilizzo dell’indirizzo NoSSLSearch non incide sugli altri servizi Google diversi da Ricerca. L’accesso a Gmail, Google Apps e l’autenticazione su servizi diversi continueranno a funzionare (e saranno possibili tramite SSL).
DNS di M$:
– configurare due zone “www.google.com” e “www.google.it”
– aggiungere l’alias “nosslsearch.google.com” alle due zone
DNSMASQ:
– dnsmasq NON e’ in grado di gestire gli alias (CNAME) nel modo “classico” (es. come bind o dns di M$)
– nel caso in cui sia disponibile un DNS interno (bind o M$) è possibile dirottare le richieste a www.google.com e www.google.it nel modo seguente
server=/www.google.com/IP_DEL_SERVER_DNS server=/www.google.it/IP_DEL_SERVER_DNS
NB.è indispensabile che il server proxy risolva gli indirizzi www.google.com e www.google.it usando questa configurazione, cioè puntando a nosslsearch.google.com.
SafeSearch di Google
Google mette a disposizione un proprio sistema di content-filtering detto SafeSearch.
Tramite Dansguardian è possibile forzare l’utilizzo di safesearch inserendo le opportune configurazioni nel file /etc/dansguardian/lists/urlregexplist :
"(^http://[0-9a-z]+\.google\.[a-z]+[-/%.0-9a-z]*/search\?)(.*)(&?)(safe=[^&]*)"->"\1\2\3" "(^http://[0-9a-z]+\.google\.[a-z]+[-/%.0-9a-z]*/search\?)"->"\1safe=strict&" "(^http://[0-9a-z]+\.google\.[a-z]+[-/%.0-9a-z]*/images\?)(.*)(&?)(safe=[^&]*)"->"\1\2\3" "(^http://[0-9a-z]+\.google\.[a-z]+[-/%.0-9a-z]*/images\?)"->"\1safe=strict&" "(^http://[0-9a-z]+\.google\.[a-z]+[-/%.0-9a-z]*/s\?)(.*)(&?)(safe=[^&]*)"->"\1\2\3" "(^http://[0-9a-z]+\.google\.[a-z]+[-/%.0-9a-z]*/s\?)"->"\1safe=strict&"
Ogni coppia di link gestisce la riscrittura di un path: la prima gli i “search?”, la seconda gli “images?”, la terza i “s?”
Servizi Google che utilizzano https
Come riportato sopra, servizi come gmail continuano a funzionare tramite https.
Per consentire l’utilizzo di tali servizi, se si utilizza la funzione di blocco selettivo di dansguardian (“Blanket SSL/CONNECT Block”, **s nel file bannedsitelist) il file /etc/dansguardian/lists/greysitelist va modificato nel modo seguente
# abilito gmail google.it google.com googleusercontent.com gstatic.com
googleusercontent.com è l’host che gestisce, ad esempio gli allegati ai messaggi di posta gmail, gstatic.com è il riferimento per le icone usate in bottoni ed altro nei servizi google.Volendo si può abilitare anche google-analytics:
# abilito google analytics (non indispensabile, ma evita continue segnalazioni a livello di log) google-analytics.com
Link di approfondimento: https://support.google.com/websearch/?hl=it&rd=2#topic=3036131