Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 7508 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Application Control And Google Web Cache Problem

ScottGlew
Hi UTM Gurus,

I'm wondering if you can shed some light on a strange issue I'm seeing while trying to block youtube via application control.

I was checking to see if I could get around App control by accessing youtube via google web cache. In firefox, youtube seemed to open up completely, even when going back to the original youtube.com domain. 

Most of the time it seemed to be blocked in other browsers, but the behaviour was inconsistent. I did manage to still watch videos in Chrome and IE via google web cache.

I created a video so you could see it for yourself and help explain:
https://www.youtube.com/watch?v=e7ZiVtvpHUQ

Is anyone able to reproduce the same behaviour and/or shed some light on what might be going on? 

I'm using the latest firmware - 9.200-11

Cheers!
Scott


This thread was automatically locked due to age.
Parents
  • 0
    Okay. When playing a youtube video through the Google Cache, the application field in the Live log is set to google or googvido.  

    For example, for this video:
    http://webcache.googleusercontent.com/search?q=cache%3Ahttp%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DA4vE_vpkr90&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US[:$]fficial&client=firefox-a&channel=sb

    Here are a few of the log records for the streaming content:

    2014:03:05-09:36:22 SophosUTM92 httpproxy[14447]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.211.55.2" dstip="173.194.57.86" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1134592" request="0xdb2bba0" url="r17---sn-q4f7dnl7.googlevideo.com/videoplayback
    2014:03:05-09:36:22 SophosUTM92 httpproxy[14447]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.211.55.2" dstip="173.194.57.74" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xdb2bba0" url="r5---sn-q4f7dnl7.googlevideo.com/videoplayback
    2014:03:05-09:36:23 SophosUTM92 httpproxy[14447]: id="0066" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden application detected" action="block" method="GET" srcip="10.211.55.2" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4553" request="0xdc3aee0" url="s.youtube.com/.../watchtime
    2014:03:05-09:36:23 SophosUTM92 httpproxy[14447]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.211.55.2" dstip="173.194.57.86" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="237568" request="0xdc3a660" url="r17---sn-q4f7dnl7.googlevideo.com/videoplayback
    2014:03:05-09:36:23 SophosUTM92 httpproxy[14447]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="POST" srcip="10.211.55.2" dstip="173.194.33.110" user="" statuscode="204" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="142" request="0xdc3a660" url="s.youtube.com/.../atr
    2014:03:05-09:36:27 SophosUTM92 httpproxy[14447]: id="0066" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden application detected" action="block" method="GET" srcip="10.211.55.2" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3657" request="0xdc3b760" url="s.youtube.com/stream_204
    2014:03:05-09:36:28 SophosUTM92 httpproxy[14447]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.211.55.2" dstip="173.194.57.74" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xdd14000" url="r5---sn-q4f7dnl7.googlevideo.com/videoplayback
    2014:03:05-09:36:30 SophosUTM92 httpproxy[14447]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.211.55.2" dstip="173.194.57.86" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1134592" request="0xdd14880" url="r17---sn-q4f7dnl7.googlevideo.com/videoplayback
    2014:03:05-09:36:33 SophosUTM92 httpproxy[14447]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.211.55.2" dstip="173.194.33.110" user="" statuscode="204" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xdd14880" url="s.youtube.com/.../watchtime


    -----

    I added the 'Google Video' application to my Application Control rule and now videos cannot be played. Interestingly I didn't get the 'An error has occurred' message like I did in my last video. It just didn't play. 

    So anyway, I guess if you really want to block youtube you just need to ensure the Google Video application is also blocked.

    About a month or so ago, YouTube started streaming content from the googlevideo.com domain.

    Previously, the streaming data was served only from the youtube.com domain, so blocking the YouTube application would have worked fine up until a month (or so) ago.

    I hope this helps!

    Cheers!
    Scott
Reply
  • 0
    Okay. When playing a youtube video through the Google Cache, the application field in the Live log is set to google or googvido.  

    For example, for this video:
    http://webcache.googleusercontent.com/search?q=cache%3Ahttp%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DA4vE_vpkr90&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US[:$]fficial&client=firefox-a&channel=sb

    Here are a few of the log records for the streaming content:

    2014:03:05-09:36:22 SophosUTM92 httpproxy[14447]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.211.55.2" dstip="173.194.57.86" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1134592" request="0xdb2bba0" url="r17---sn-q4f7dnl7.googlevideo.com/videoplayback
    2014:03:05-09:36:22 SophosUTM92 httpproxy[14447]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.211.55.2" dstip="173.194.57.74" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xdb2bba0" url="r5---sn-q4f7dnl7.googlevideo.com/videoplayback
    2014:03:05-09:36:23 SophosUTM92 httpproxy[14447]: id="0066" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden application detected" action="block" method="GET" srcip="10.211.55.2" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4553" request="0xdc3aee0" url="s.youtube.com/.../watchtime
    2014:03:05-09:36:23 SophosUTM92 httpproxy[14447]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.211.55.2" dstip="173.194.57.86" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="237568" request="0xdc3a660" url="r17---sn-q4f7dnl7.googlevideo.com/videoplayback
    2014:03:05-09:36:23 SophosUTM92 httpproxy[14447]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="POST" srcip="10.211.55.2" dstip="173.194.33.110" user="" statuscode="204" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="142" request="0xdc3a660" url="s.youtube.com/.../atr
    2014:03:05-09:36:27 SophosUTM92 httpproxy[14447]: id="0066" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden application detected" action="block" method="GET" srcip="10.211.55.2" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3657" request="0xdc3b760" url="s.youtube.com/stream_204
    2014:03:05-09:36:28 SophosUTM92 httpproxy[14447]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.211.55.2" dstip="173.194.57.74" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xdd14000" url="r5---sn-q4f7dnl7.googlevideo.com/videoplayback
    2014:03:05-09:36:30 SophosUTM92 httpproxy[14447]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.211.55.2" dstip="173.194.57.86" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1134592" request="0xdd14880" url="r17---sn-q4f7dnl7.googlevideo.com/videoplayback
    2014:03:05-09:36:33 SophosUTM92 httpproxy[14447]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.211.55.2" dstip="173.194.33.110" user="" statuscode="204" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xdd14880" url="s.youtube.com/.../watchtime


    -----

    I added the 'Google Video' application to my Application Control rule and now videos cannot be played. Interestingly I didn't get the 'An error has occurred' message like I did in my last video. It just didn't play. 

    So anyway, I guess if you really want to block youtube you just need to ensure the Google Video application is also blocked.

    About a month or so ago, YouTube started streaming content from the googlevideo.com domain.

    Previously, the streaming data was served only from the youtube.com domain, so blocking the YouTube application would have worked fine up until a month (or so) ago.

    I hope this helps!

    Cheers!
    Scott
Children
No Data
Cookie Information Banner