Moin,
ich muß mir Gedanken machen, den WWW-Mißbrauch in der Firma zu beschränken. Hintergrund sind Treffer beim greppen der Squid-Logs nach zum Bleistift 'Hardcore' ... (das Dumme ist nur, der Verursacher ist etliche Ebenen über mir in der Hirarchie, ich kann ihn also nicht entlassen)
Also, in der Squid-FAQ ist ja die Frage nach ACL-Ban - Listen ganz gut beschrieben, auch fertige Listen sind da.
Was mich noch interessiert: kann die die Seite, die Squid dann anzeigt, selber definieren? Vielleicht finde ich ja noch ein Bild vom Firmenchef ;-)
Ich habe hier kein Squid, sorry, falls das in der Doku dazu steht. Mir reicht ja auch ein RTFM oder aber ein Hinweis, wie es geht.
Und ja, bei der Gelegenheit: ich kann ja IP-Adressen angeben, welche Rechner Squid nutzen dürfen, welche nicht. Kann ich auch meine (umlautlosen) Benutzernamen dafür nehmen? Daß also gegen einen SMB-Server geprüft wird, wer darf und wer nicht?
Andreas, mit Squid noch keine Erfahrungen habend :-|
Am Sonntag, 27. Mai 2001 09:07 schrieben Sie:
Ich habe hier kein Squid, sorry, falls das in der Doku dazu steht. Mir reicht ja auch ein RTFM oder aber ein Hinweis, wie es geht.
Hab es jetzt nicht im Kopf, unser squid zeigt die standartseite filenotfound an und die ist imho änderbar.
Und ja, bei der Gelegenheit: ich kann ja IP-Adressen angeben, welche Rechner Squid nutzen dürfen, welche nicht. Kann ich auch meine (umlautlosen) Benutzernamen dafür nehmen? Daß also gegen einen SMB-Server geprüft wird, wer darf und wer nicht?
Klingt interessant, weiss aber nicht. Wenn du eine Lösung hast, dann gib bitte mal Bescheid.
jetzt schreien aber erst mal die leiben Kleinen.....muss los.
Jens
Andreas Kretschmer kretschmer@kaufbach.delug.de writes:
ich muß mir Gedanken machen, den WWW-Mißbrauch in der Firma zu beschränken. Hintergrund sind Treffer beim greppen der Squid-Logs nach zum Bleistift 'Hardcore' ...
Wo ist dein Problem? Warum mußt *du* dir Gedanken machen?
Wenn du auch für die Kosten der Internet-Anbindung zuständig bist, kannst du ja mal der Geschäftsleitung vorschlagen, daß man allen Mitarbeitern entsprechende Hinweise zur kostensparenden und nichtprivaten Nutzung unterbreiten sollte.
Wenn man auf personenbezogene Erfassung besteht, sind Datenschutz-Aspekte zu beachten.
Ansonsten: Wenn sich die Leute die Bilder-Zeitung vom Kiosk mitbringen, hat es dir auch egal zu sein. Es ist nicht Aufgabe der Datenverarbeitung, den geschäftsfördernden Einsatz der Arbeitszeit zu überwachen. Und legal ist es auch nicht.
Also, in der Squid-FAQ ist ja die Frage nach ACL-Ban - Listen ganz gut beschrieben, auch fertige Listen sind da.
ACLs für URLs mache ich nicht.
Als mal der Wunsch kam, bat ich um Bereitstellung einer Liste aller fraglichen URLs.
Was mich noch interessiert: kann die die Seite, die Squid dann anzeigt, selber definieren?
Regexp-Redirection.
Ich habe hier kein Squid, sorry, falls das in der Doku dazu steht.
Dann hol ihn dir und lese. Oder auf der Web-Seite http://www.squid-cache.org (aus dem Gedächtnis ...)
Und ja, bei der Gelegenheit: ich kann ja IP-Adressen angeben, welche Rechner Squid nutzen dürfen, welche nicht.
Ja. Auch nur ACLs.
Kann ich auch meine (umlautlosen) Benutzernamen dafür nehmen?
Wie sollen die authentisch ankommen? Wenn du die Clients hundertprozentig unter Kontrolle hast, ginge Identd.
Daß also gegen einen SMB-Server geprüft wird, wer darf und wer nicht?
SMB -> ich keine Ahnung.
Sven
Andreas Kretschmer wrote something like:
Hallo,
ich muß mir Gedanken machen, den WWW-Mißbrauch in der Firma zu beschränken. Hintergrund sind Treffer beim greppen der Squid-Logs nach zum Bleistift 'Hardcore' ... (das Dumme ist nur, der Verursacher ist etliche Ebenen über mir in der Hirarchie, ich kann ihn also nicht entlassen)
Ich halte zwar Informationsbeschränkung für keine richtige Lösung und mit squid habe ich auch so gut wie keine Erfahrung, habe aber von SquidGuard (http://www.squidguard.org) gehört. Das könnte eventuell etwas sein, was du willst.
Was mich noch interessiert: kann die die Seite, die Squid dann anzeigt, selber definieren? Vielleicht finde ich ja noch ein Bild vom Firmenchef ;-)
Hast Du eigentlich vor, den Nutzern die Absicht der Inhaltsfilterung vorher mitzuteilen? Oder willst Du sie mit einem Bild des Chefs mit erhobenem Zeigefinger überaschen? (... und Ihnen bei der Gelegenheit auch noch mitteilen, dass sie mit Name, Adresse und Personalausweisnummer in den Logs stehen?)
Sorry für die blöden Fragen. Menschen lassen sich nicht gern bevormunden. Es entsteht die Frage, ob die Überwachung die Arbeitsmotivation steigert.
Andreas, mit Squid noch keine Erfahrungen habend :-|
Christian, leicht gereitzt diesem Thema gegenüberstehend
am Sun, dem 27.05.2001, um 11:35:53 +0200 mailte Christian Wippermann folgendes:
Ich halte zwar Informationsbeschränkung für keine richtige Lösung und mit squid habe ich auch so gut wie keine Erfahrung, habe aber von SquidGuard (http://www.squidguard.org) gehört. Das könnte eventuell etwas sein, was du willst.
ja, SquidGard habe ich auch schon gehört, aber Squid kann selber solche Listen verwalten.
Hast Du eigentlich vor, den Nutzern die Absicht der Inhaltsfilterung vorher mitzuteilen?
Weiß noch nicht, eher nein. Darüber muß ich noch mit meinem Chef reden. Den Virenscanner in eMail habe ich auch ohne Ankündigung installiert. (PS.: Amavis erzeugt saumäßig hohe Last und verbrät übel viel RAM)
Inhaltsfilter bei WWW ist allerdings eine andere Qualität. Allerdings arbeiten die Filter mit Regex - Listen, und die werden wirklich nur sehr eindeutige Inhalte haben.
erhobenem Zeigefinger überaschen? (... und Ihnen bei der Gelegenheit auch noch mitteilen, dass sie mit Name, Adresse und Personalausweisnummer in den Logs stehen?)
Sorry für die blöden Fragen. Menschen lassen sich nicht gern bevormunden. Es entsteht die Frage, ob die Überwachung die Arbeitsmotivation steigert.
Nun ja, man kan da lange hin und her diskutieren. Neben den moralischen Sinn und Unsinn des surfens auf Pornoseiten kommen handfeste Probleme hinzu:
- wir haben Standleitungen, WWW-Zugang über einen zentralen Proxy. Über diesselben Leitungen laufen Terminalsitzungen, an denen _echt_ gearbeitet wird. Stundenlanges saugen von Schweinskram mag für den einen reizvoll sein, für dutzende andere aber ist es eine massive Arbeitserschwernis. Ob die gemeinsame Nutzung einer Leitung für Terminalbetrieb, Mail und WWW sinnvoll ist, ist eine andere Frage, über die wir eh schon nachdenken.
- soll / kann ich davon ausgehen, daß derjenige bei 'harmlosen' Hardcorepornos bleibt, oder nicht vielleicht auch mal Kinderpornos konsumiert? Dazu passt eine Meldung gestern auf dem Heisenewsticker (in etwa: Virus erspäht Kinderpornos und mailt an die Polizei) Ich habe null Bock, eines Tages mal gefragt zu werden, warum ich als Admin das nicht verhindert habe. (nein, nicht die eMail an die Polizei ...)
Ich möchte nicht mit dem Zeigefinger hinter jedem stehen, ich nutze WWW und Mail auf Arbeit manchmal auch halbprivat, zum Beispiel bin ich auch dort in dieser Liste (und anderen). Beim Versuch, auf Porno-Seiten zu kommen, soll ein deutscher Text kommen a la "Sorry, Seite gesperrt. Es besteht der Verdacht, daß es sich um nicht der Arbeit dienende Inhalte handelt. Benötigen Sie diese Seite dennoch, klicken Sie hier und schreiben Sie eine eMail an den Admin ..." Dazu _nicht_ das Bild des Chefs, das war eher Spaß. Aber zum Beispiel das Firmenlogo. Ich denke, das ist legitim.
Andreas
On Sun, May 27, 2001 at 11:24:31AM +0200, Andreas Kretschmer wrote:
ja, SquidGard habe ich auch schon gehört, aber Squid kann selber solche Listen verwalten.
dann schreibst du dich aber tod an massenhaft zeilen ala acl boese_seite_1 url_regex [regexp] acl boese_seite_2 url_regex [regexp] acl boese_seite_3 dstdomain ...
http_access deny boese_seite_1 http_access deny boese_seite_2 http_access deny boese_seite_3
Das geht mit externen Programmen besser. Vor allem kann man mit externen Proggis die geblockten URLs durch was anderes ersetzen, wodurch der Nutzer darauf aufmerksam wird, daß er hier nur gefilterte Infos bekommt.
Hast Du eigentlich vor, den Nutzern die Absicht der Inhaltsfilterung vorher mitzuteilen?
Weiß noch nicht, eher nein. Darüber muß ich noch mit meinem Chef reden.
Ich empfehle, die Filterliste öffentlich zu machen. Das ist besser als Heimlichtuerrei. Wer nicht ganz blöd ist, kann auf seine geliebten Webseiteiten sowieso weiterhin zugreifen.
Inhaltsfilter bei WWW ist allerdings eine andere Qualität. Allerdings arbeiten die Filter mit Regex - Listen, und die werden wirklich nur sehr eindeutige Inhalte haben.
Na klar. So eindeutig wie Hadcore, sex usw., stimmts? Lies mal auf http://www.peacefire.org/ die "Blocking Software Reports". Lies sie am besten bevor du einen Filter installierst Und diese Produkte nutzen nicht nur regexps auf URLs sondern haben zusätzlich "richtige Menschen", die die Seiten anschauen und bewerten.
- soll / kann ich davon ausgehen, daß derjenige bei 'harmlosen' Hardcorepornos bleibt, oder nicht vielleicht auch mal Kinderpornos konsumiert?
Du bist nicht bei der Polizei (oder doch? man weiss ja nie). Es ist nicht deine Aufgabe, solche Fälle aufzudecken.
Dazu passt eine Meldung gestern auf dem Heisenewsticker (in etwa: Virus erspäht Kinderpornos und mailt an die Polizei)
Dann trägt der Virus zur Verbreitung solcher Kinderpornos bei, was mit Sicherheit strafbar ist.
Ich habe null Bock, eines Tages mal gefragt zu werden, warum ich als Admin das nicht verhindert habe. (nein, nicht die eMail an die Polizei ...)
nochmal: du bist nicht, nur weil du ein paar Rechner adminst, automatisch ein kleiner Polizeihelfer, obwohl dieses Denken bei Admins weitverbreitet zu sein scheint. Natürlich darfst du die Verbreitung von Kinderpornos usw. nicht förden. Das impliziert aber NICHT(!!!), daß du deren Verbreitung aktiv verhindern/vorbeugen mußt. Sollten bei dir solche Fälle auftreten, MUSST du auf richterliche Anordnung Logfiles und andere Daten rausrücken. Natürlich nur, wenn du solche Daten gesammelt hat, wozu du NICHT verpflichtest bist.
Kurzum: lass nur das nötigste loggen ( keine suchbegriffe, keine vollen URLs, keine client IPs, nur MB-zahlen z.B. um den Traffic zu überwachen und lösche die Logfiles täglich, nachdem die auszuwertenden Daten aufbereitet wurden..
Ich möchte nicht mit dem Zeigefinger hinter jedem stehen, ich nutze WWW und Mail auf Arbeit manchmal auch halbprivat, zum Beispiel bin ich auch dort in dieser Liste (und anderen). Beim Versuch, auf Porno-Seiten zu kommen, soll ein deutscher Text kommen a la "Sorry, Seite gesperrt. Es besteht der Verdacht, daß es sich um nicht der Arbeit dienende Inhalte handelt. Benötigen Sie diese Seite dennoch, klicken Sie hier und schreiben Sie eine eMail an den Admin ..."
Das geht mit der von mir in der letzten Mail angesprochenen Software. Hast du eigentlich vor, die Filterliste selber zu erstellen, indem du erstmal das Netz nach Schmuddelkram absuchst?
Dazu _nicht_ das Bild des Chefs, das war eher Spaß. Aber zum Beispiel das Firmenlogo. Ich denke, das ist legitim.
klar ist es das.
Reinhard
On Sun, May 27, 2001 at 11:24:31AM +0200, Andreas Kretschmer wrote:
- soll / kann ich davon ausgehen, daß derjenige bei 'harmlosen' Hardcorepornos bleibt, oder nicht vielleicht auch mal Kinderpornos konsumiert?
Ich hoffe das ist ein Scherz.
Eric
am Mon, dem 28.05.2001, um 9:53:10 +0200 mailte Eric Schaefer folgendes:
On Sun, May 27, 2001 at 11:24:31AM +0200, Andreas Kretschmer wrote:
- soll / kann ich davon ausgehen, daß derjenige bei 'harmlosen'
Ich hoffe das ist ein Scherz.
Wie meinst Du das jetzt? Ich möchte wenigstens *etwas* tun, und solche Leute spüren lassen, daß sie sich in der Firma nicht im luftleeren Raum befinden. Daß Filter wie ich sie nun einsetzen werde nicht das Allheilmittel sind, weiß ich. Ein 'schwacher' Filter ist IMHO besser als tatenlos solche Leute machen zu lassen.
Andreas
On Mon, May 28, 2001 at 10:09:29AM +0200, Andreas Kretschmer wrote:
- soll / kann ich davon ausgehen, daß derjenige bei 'harmlosen'
Ich hoffe das ist ein Scherz.
Wie meinst Du das jetzt?
Ich meinte nicht das "harmlos", sondern den Schluß auf Kinderp*rn*s. Das würde ich als unzulässige Verallgemeinerung bezeichnen. Bloß weil ich mal auf die HP von der FSF schaue kannst Du nicht davon ausgehen, daß ich Kommunist bin... (ich weiß, das hinkt, aber trotzdem)
Eric
am Mon, dem 28.05.2001, um 11:34:06 +0200 mailte Eric Schaefer folgendes:
Ich meinte nicht das "harmlos", sondern den Schluß auf Kinderp*rn*s. Das würde ich als unzulässige Verallgemeinerung bezeichnen. Bloß weil ich
kann man nennen wie man will, ändert nix an der Tatsache, daß er sich von mir aus alles mögliche anschauen kann, sofern er es von einem Rechner außerhalb meines Verantwortungsbereiches, sprich Firma, macht. Hier ist es:
1. fehl am Platze 2. er behindert andere 3. bin ich der Meinung, daß die zur Verfügung gestellten Resourcen (PC, Internet) vorranging für firmen-bezogene Dinge zu nutzen sind. Pornos, ob weich oder hart, sind nicht Gegenstand unserer Arbeit hier. Punkt.
(außerdem war es mehr eine rhetorische Frage als eine Unterstellung)
Andreas
On Sun, May 27, 2001 at 09:07:21AM +0200, Andreas Kretschmer wrote:
ich muß mir Gedanken machen, den WWW-Mißbrauch in der Firma zu beschränken. Hintergrund sind Treffer beim greppen der Squid-Logs nach zum Bleistift 'Hardcore' ...
Das arme WWW wird mißbraucht. Mein Beileid. Dagegen hilft recht gut ein "cache_access_log /dev/null" in der squid.conf
Ich habe hier kein Squid, sorry, falls das in der Doku dazu steht. Mir reicht ja auch ein RTFM oder aber ein Hinweis, wie es geht.
schau dir die Option "redirect_program" an. Dort kannst du beliebige Filter einhaken. Ich nutze zur Zeit squid_redirect von http://www.zip.com.au/~cs/adzap/index.html
Und ja, bei der Gelegenheit: ich kann ja IP-Adressen angeben, welche Rechner Squid nutzen dürfen, welche nicht.
ja geht, z.B.:
acl liebe_gute_client_ips src 192.168.10.0/255.255.255.0 http_access allow liebe_gute_client_ips http_access deny all
Kann ich auch meine (umlautlosen) Benutzernamen dafür nehmen? Daß also gegen einen SMB-Server geprüft wird, wer darf und wer nicht?
geht, mittels authenticate_program und externem proggi
Reinhard
am Sun, dem 27.05.2001, um 14:05:45 +0200 mailte Reinhard Foerster folgendes: [viele gute Hinweise]
Danke Dir und den anderen, natürlich werde ich auch das Vorgehen mit meinem Chef abstimmen. Ich verstehe auch die Bedenken, die hier und da gekommen sind, aber versteht mich bitte auch: ich weiß von dem in meinen Augen Mißbrauch und möchte etwas dagegen tun. Dicht bekomme ich das nicht, daß weiß ich. Ich weiß auch, daß solche Filter auch schnell zur Behinderung normaler User werden. Das will ich nicht.
Mal sehen, bisher sagte man dort nur schulterzuckend: "sorry, aber wir wissen nicht, wie wir das verhindern können". Nun kann ich einen IMHO gangbaren Weg aufzeigen.
Andreas
am Sun, dem 27.05.2001, um 9:07:21 +0200 mailte Andreas Kretschmer folgendes:
Was mich noch interessiert: kann die die Seite, die Squid dann anzeigt, selber definieren? Vielleicht finde ich ja noch ein Bild vom Firmenchef
ich habs's: deny_info in der squid.conf.
Im übrigen: wir werden es machen, mit Begriffen, die (hoffentlich) 100% sicher sind ('sex' fällt schon weg, zu schwach). Wir werden _nicht_ informieren, und wir werden eine freundlich gehaltene deny_info - Seite dazu machen. Außerdem werde ich (heute?) einen extra Proxy in der betreffenden Niederlassung aufstellen, wegen der Leitung.
Andreas
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Andreas Kretschmer -
Christian Wippermann -
Eric Schaefer -
Jens Puruckherr -
Reinhard Foerster -
Sven Rudolph