Sziasztok!
Találkoztatok már olyannal, hogy egy https-en futó user session-nél minden új url oldal GET lekérése előtt van egy symantec ip címről érkező GET kérés?
Van egy SaaS rendszerünk, amit jellemzően nagyvállalatok használnak, és userenként egyedi url-eket használ, https-en, login-al védve. Egy új ügyfélnél panaszkodtak a felhasználók, hogy lassú a rendszer, pedig a szerverterhelés kifejezetten alacsony. A webszerver log-jait megnézve az a furcsa mintázat tűnt fel, hogy minden minden alkalommal, amikor a felhasználó elősször tölt be egy url-t, a logban megjelenik egy másik ip címről egy 301-es status code-ú lekérés. Erre az ip cimre whois-t megnézve az eredményben "Abuse contact for '....ip range...' is '@symantec.com'".
Nekem nagyon úgy tűnik, hogy valamiért valami symantec-es rendszer (ami gondolom a usert / böngészőjét akarná védeni mindenféle malware-től) minden url-t megpróbál előre betölteni, méghozzá http-n, de mivel https-en fut (és login-t is igényel), ezért csak egy redirect-et kap a https-es változatra (ezért a 301-es status code). Viszont ez elég butaságnak tűnik, mert mi értelme a 20. url-t is megpróbálni, és különösen mi érteleme http-n, ha az eredeti url https-es volt.
Találkoztatok már ilyen mintázattal? Tényleg van valami ilyen symantec-es szűrő program? Ha igen, mi a neve? Lehetséges, hogy a felhasználók által tapasztalt lassúságot ez okozza?
Dani
Hozzászólások
Akár ez is lehet, a linket a "symantec web protection" kifejezésre dobta a gugli, persze lehet más is.
Szerintem az üffélnek jelezni kellene, hogy tegyenek benneteket whitelist-re, trusted zone-ba, whatever.
Kösz! Ilyen védelmi programokról le van írva valahol, hogy "we will try to load all urls with out ip" vagy hasonló a működési elvről? Eléggé kiakaszt, hogy csak marketing anyagokat találok róla, amiben nagyon kevés használható info van.
Időközben további log-elemzéssel ugyan ezt a mintázatot másik usereknél is megtaláltuk, de ott bluecoat.com-os email cím bukkant fel az ip whois infójában. Elvileg ez valami symantec-es dolog (pontosabban symantec felvásárolta).
Természetesen próbáltuk jelezni az ügyfélnek, de ugye nem az IT részleggel vagyunk közvetlenül kapcsolatban, így nem biztos hogy átment az üzenet.
Ja igen, és továbbra is teljesen érthetetlen, hogy mire jó ez.
Semmire. Pontosabban: a symantec pénzt csinál, a cégnél a döntéshozó is jól járhat, illetve ha a káresemény után meg akarják dádázni az IT-t akkor van kire mutogatni.
Mert ha egy frissen kapott, saját szabályrendszer alapján karanténba továbbított levél csatolmányát a virustotal-on 0 vírusirtó ismeri fel, és pár nap múlva még mindig csak 5/55 az arány, akkor bizony vizsgálódhat bármilyen protection...
És ez nem egy minta alapján, és az ismertebb cuccokat is néha a fele tisztának találja több héttel azután hogy hozzám beesett...