Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 3960 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Granular Web Protection

BigO
Using the default Web Protection > Web Filter Profiles > Filter Actions > Default content filter action I am having an issue with the eBay captcha images not being displayed. These images are used when asking a seller a question.
Because the captcha image is created via a DLL, it is being blocked by the content filter.

If I enable downloading DLL files in a custom profile it all works fine, but I would prefer not to do this on a global basis.
Is there a way to limit DLL downloads to just eBay.com or to a specific DLL file (eBayISAPI.dll)?


This thread was automatically locked due to age.
  • 0
    Yes, you can create an Exception for Extension Blocking that does that.  It would have been easier to answer your question more explicitly had you included the line from the Web Filtering log file instead of attaching a picture.

    Cheers - Bob
  • 0
    Here is the line from the log...

    2014:12:05-09:45:39 firewall httpproxy[29470]: id="0064" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden file extension detected" action="block" method="GET" srcip="***.***.***.***" dstip="66.135.220.25" user="" ad_domain="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2798" request="0xe3a2d70" url="cgi4.ebay.com.au/.../eBayISAPI.dll
  • 0
    Any luck with the following?

    ^https?://cgi4\.ebay\.com\.au/ws/eBayISAPI\.dll


    Cheers - Bob
  • 0
    Thanks Bob, that specific REGEX string does work.
    However...

    After doing a bit more investigation, It would seem that the URL is not always constant, but the DLL is. 
    contact.ebay.com/.../eBayISAPI.dll

    cgi4.ebay.com/.../eBayISAPI.dll

    contact.ebay.com.au/.../eBayISAPI.dll

    cgi4.ebay.com.au/.../eBayISAPI.dll


    I have a very limited understanding of REGEX, so I need some more advice here.

    From what I have found, the URL string always contains "ebay.com" and "eBayISAPI.dll". Is there a REGEX that does not make the URL country specific (no ebay.com.au for example) and that cuts out the bits between the domain and the DLL file name?
    I could obviously add a REGEX for each of the above examples to the filter, but it would be better if a single, more generic, REGEX could be used.

    Is it possible to make the REGEX more generic to handle different eBay URL strings?
  • 0
    As I said... REGEX is not my thing, but I came up with this, which seems to match all of the examples above.

    ^https?://([a-z0-9\._-]+)?ebay\.co(m)?([a-z\.]{3,7})?([/a-z0-9_-]+)?/ws/eBayISAPI\.dll


    Is there anything technically wrong with this, or can it be improved?
  • 0
    That looks good.  If you wanted to tighten it up a bit, you could try:

    ^https?://(cgi4\.|contact\.)?ebay\.com(\.au)?(/ebaymotors)?/ws/eBayISAPI\.dll


    Cheers - Bob
  • 0
    The problem is that I have no real idea of the other possible iterations of this URL
    That's why I wanted a REGEX that was as generic as possible. eBay is the only site, that I am aware of, where I have this issue.

    What I have now seems to work okay, but I will keep your suggested syntax in mind, as the "OR" option could prove useful in the future.

    Thanks for pointing me in the right direction Bob. [:)]