Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 2472 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Although Exception: Websites don't load properly

UweT
Hi there!

We have specific websites that we need for our teachers to work with but there is some weird behavior when using the webfilter. Without filtering in the network it is working great.

I.e. Interactive ebooks for children

Open the URL. With webfilter turned on it takes ages to load. And When clicking the green button "teacher login" on the upper right it just adds a hash character behind the URL and nothing further.
Without the webfilter a login animation/window appears on the site. That is how it should be.

I put raz-kids.com on the exception list (this can be proofen by the filter log) but somehow the webfilter does something to those pages...

First we thought it's because of some javascript... but even the option to remove Javascript content has never turned on on our Sophos UTM425, v.9.103-5

Please help!! :-/
--Uwe


This thread was automatically locked due to age.
  • 0
    We are testing... sigh...

    The login funtionality is a javascript function.
    webfilter off: all works fine.
    webfilter on: javascript is still in source code but doesn't seem to be executed.

    In general javascript works, there are other pages we can successfully access.

    Didn't find a root cause yet or UTM option to fix this....
  • 0
    Uwe, can you try an experiment when no one else is using the web so that we can look at the Web Filtering logfile for when this behavior occurs.

    Cheers - Bob
  • 0
    Dear BAlfson

    I found out the root cause last Friday. It was exactly this case.

    Thanks to this forum I could find a solution on how to prevent the IPS to delete some code in a JS file that the client receives as an empty one:

    Go to the IPS settings in WebAdmin, and go to "Advanced" (the last tab on the right)...

    Top section is "Manual Rule Modification"; click the '+' icon, and enter the SID, and EITHER click 'Disable' or change to ALERT.

    Barry


    Btw this is from the former IPS log:

    2013:08:16-17:54:17 disgwac-2 snort[23682]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="INDICATOR-OBFUSCATION Javascript indexOf rename attempt" group="320" srcip="***.***.***.***" dstip="***.***.***.***" proto="6" srcport="80" dstport="54326" sid="26616" class="Misc activity" priority="3"  generator="1" msgid="0"


    We have IPS enabled for our uplink interfaces. Means everytime the website sent back data the IPS kinda cut out the content of the most important file "prototype.js" which was the same every website relied on (having that trouble).

    Finally: SOLVED.