[1] Comentário enviado por cvs em 22/12/2004 - 08:29h:

e tem alguma incompatibilidade com o php a respeito de versões, da 4 ou 5?

[2] Comentário enviado por agk em 22/12/2004 - 08:50h:

Testei e não funcionou muito bem, segue os erros:
Warning: Cannot add header information - headers already sent by (output started at download_file.php:6) in download_file.php on line 11

Warning: Cannot add header information - headers already sent by (output started at download_file.php:6) in download_file.php on line 12

Warning: Cannot add header information - headers already sent by (output started at download_file.php:6) in download_file.php on line 13

Poderia explicar o que esse script faz na prática, sou iniciante em php.
Vlw!

[3] Comentário enviado por scottys0 em 22/12/2004 - 10:04h:

AGK -> Antes de enviar os headers voce não pode dar nenhuma saida de tela ... echo, print_r ou print ... da uma olhada se não tem nenhum antes ... ok qquer coisa de um toque.

CVS -> Cara acho que não tem nenhuma restrição não pois aqui eu uso as duas versões de php e funciona corretamente .. ok qquer coisa de um toque.

[4] Comentário enviado por jhgb em 22/12/2004 - 11:15h:

Fernando,
eu não sei se foi uma boa idéia publicar esse tipo de solução.
Bem ou mal, uma empresa define uma política de acesso e esta deve ser seguida pelos funcionários.
Mantendo as devidas proporções, seria equivalente a mostrar como hackear um servidor da empresa.
Os arquivos de log servem justamente para auditorias em diversos níveis, e a sua idéia de " bypass" o coloca em uma situação delicada.
Espero que iso não lhe cause problemas.

João Henrique

[5] Comentário enviado por scottys0 em 22/12/2004 - 11:21h:

Caro joão Henrique, o simples uso do artigo é de interira responsabilidade pessoal. eu estou a par das consquencias peculiares (oque acho muito dificil pois o header não autentica no proxy) então julgar se eu devo ou não seguir as normas da minha empresa são de meu livre arbitrio. ok

Att. scottys0

[6] Comentário enviado por agk em 22/12/2004 - 11:36h:

Parabéns scottys0 o script realmente funciona, exceto por arquivos vindos de ftp e outros que baixam pela metade, mas de resto baixou corretamente.
Contando que fiz apenas testes com as extensões de arquivos bloqueadas no squid, mas vou fazer teste ainda bloqueando os arquivos pelo mime-type no squid.
Vlw!

[7] Comentário enviado por tony_ctc em 22/12/2004 - 14:25h:

ae Scottys....
ce tentou usar o protocolo http ao inves do ftp pra baixar os arquivos mesmo q estejam em sites ftp ?!

tipo....
http://ftp.xxx.com.br/file.zip
ao inves de
ftp://.............


tentae.... ve no q dah....
[]'s
Tony

[8] Comentário enviado por junior_87 em 22/12/2004 - 15:17h:

Excelente artigo, é muito valido sabermos como burlar o squid pois dessa forma nós administradores de redes podemos estudar como bolar uma maneira de nos precavermos disso, desafio agora alguém ai de criar uma maneira de fazer com que esse esquema do nosso amigo scottys0 não funcione....

[9] Comentário enviado por marcaoguitarra em 22/12/2004 - 16:21h:

Cara, bom mesmo esse artigo, já estou na tentativa de evitar que esse script funcione, se eu achar a solução eu coloco aqui...

Falow!

[10] Comentário enviado por pereira.celso em 22/12/2004 - 19:52h:

muito legal seu artigo meu velho....
parabens e eu vou começar a brincar com squid pra tentar resolver isso!
se conseguir eu coloco no ar ae!

soh tua empresa não pode pegar o jeito de contornar o problema ...rsss

falo veio, valeu

[11] Comentário enviado por fftrebor em 23/12/2004 - 08:08h:

Sinceramente

O artigo é bom no que diz respeito a exibir esta vulnerabilidade no squid.

Porém, a longo prazo e talvez até a médio, o resultado do que foi colocado no seu artigo não será muito bom, pois imagine que fama vamos ter?

Concordo com o João e inclusive sugiro a todos que simularam seu código que venham a desfazê-lo ... Eu, como administrador, fico muito preocupado com os efeitos que informaçòes assim podem gerar.

Atenciosamente

Robert

[12] Comentário enviado por fabio em 23/12/2004 - 09:02h:

Olá pessoal,

Recebi 2 solicitações de retirada desse artigo do ar, sendo assim lá vão meus motivos para não fazê-lo. Vamos pôr o debate em pauta, não sou nem pretendo ser ditador. :)

Em primeiro lugar confesso que achei o artigo bem interessante tecnicamente falando e claro, bem didático. Ele passou por todos os critérios técnicos para publicação, logo sua reprovação soaria como censura ou algo do gênero.

Bom, voltando à parte da ética empresarial, considero o artigo muito mais um alerta para os administradores do que uma ameaça.

1. O VOL é acessado na maioria das vezes pelos próprios administradores, logo eles já ficam em alerta para poder monitorar esse padrão de acesso no log do Squid.

2. O comprometimento do download de srquivos, em sua maior parte se dá devido ao fato de infecção por vírus. Nesse caso um usuário comum de Windows, aquela vítima perfeita do vírus, não terá capacidade de por em prática ou até mesmo acesso a esse artigo.

3. A força do software livre está em casos como esse. Já pensaram para perceber que isso poder se tratar de um bug do Squid? Nosso papel como membros da comunidade open source não é omitir os fatos, como tentam fazer as empresas de software proprietário e sim divulgá-los, principalmente para seus desenvolvedores.

Concluindo, ao invés de me pedirem para tirar o artigo do ar, como fizeram 2 membros aqui do VOL, que tal irmos no site www.squid-cache.org e notificá-los quanto ao problema? Essa é a ideologia do software livre.

Enfim, esse código PHP é bem simples, não seria sua omissão que resolveria o problema do Squid.

Estou indo lá no site oficial do software agora mesmo para reportar o bug. Essa é uma prática que nós devemos nos habituar a fazer, se não temos habilidades de desenvolvedor, que atuemos pelo menos como identificadores de bugs :)

[]'s,
Fábio

[13] Comentário enviado por fabio em 23/12/2004 - 09:21h:

Pessoal,

Artigos técnicos, de qualquer teor, estão aí é pra isso. Para serem testados e debatidos. Segue o treco de meu squid.conf que proibe download de arquivo de extensão .exe:

acl arquivos_proibidos url_regex -i \.exe$ \.mp3$ \.mpg$ \.mpeg$ \.rm$ \.avi$ \.asf$ \.wma$ \.wav$ \.wmv$ \.ogg$ \.midi$ \.mov$ \.movie$ \.pif$
http_access deny arquivos_proibidos

Eis a saída de log do Squid quando tento rodar o downloader:

1103800760.609 2 10.1.1.220 TCP_DENIED/403 1408 GET http://www.vivaolinux.com.br/syslinux.exe - NONE/- text/html

Ou seja, acesso NEGADO!

agk, essa é a explicação para o seu "Cannot modify header information". Seu Squid está bem configurado.

Fernando e demais que obtiveram sucesso com o script, favor verificar sua configuração do Squid, a falha é local e não do software em si.

E pra quem se interessou em publicar bugs no Squid, há uma parte do site só pra isso, eles usam o bugzilla por lá:

http://www.squid-cache.org/bugs/index.cgi

Se procurarem aqui no VOL mesmo há um artigo do Wanderson Berbert sobre o bugzilla.

[]'s

[14] Comentário enviado por erick-nit em 23/12/2004 - 10:20h:

Aqui deu esse erro..

/* download_file.php Fernando Meyer Camargo fmcamargo at gmail dot com */
Notice: Undefined variable: str_url_file in C:\Intranet\download_file.php on line 7

Warning: Cannot modify header information - headers already sent by (output started at C:\Intranet\download_file.php:6) in C:\Intranet\download_file.php on line 11

Warning: Cannot modify header information - headers already sent by (output started at C:\Intranet\download_file.php:6) in C:\Intranet\download_file.php on line 12

Warning: Cannot modify header information - headers already sent by (output started at C:\Intranet\download_file.php:6) in C:\Intranet\download_file.php on line 13

Sabe como posso consertá-lo?

[]s

.: ERiCk-NiT :.
Erick Rodrigues

[15] Comentário enviado por kleitonluiz em 23/12/2004 - 10:52h:

Nossa, muito útil !!! Parabêns pelo desenvolvimento !

[16] Comentário enviado por scottys0 em 23/12/2004 - 11:38h:

karamba ....

[17] Comentário enviado por scottys0 em 23/12/2004 - 13:23h:

"Nós tínhamos a filosofia que quem estivesse sentado no computador deveria poder fazer o que quisesse e alguém que estivesse lá ontem não deveria estar controlando o que você está fazendo hoje."

Faço minha as palavras de Richard Stallman o Guru do Free Software, o homem que tornou possivel a nós hoje usar o computador com um sistema GNU/Linux ... não tiro os meritos de Torvalds mas quem ficou com tendinite codificando o compilador GCC, emacs e 80% dos softwares que usamos no linux e tambem contratou estagiarios C para digitar codigo enquanto ditava foi stallman cuja filosofia abriu as portas do mundo para todos nos usuarios LINUX.

Então não fiz só por não poder baixar codigo ou desafiar adms ...
eu tenho um conceito... voce pode usar o computador até o nivel onde tem certeza que não vai fazer merda ou prejudicar os outros ... e com certeza não prejudiquei ninguem ... como disse o fabio será praticamente impossivel um usuario windows comum instalar o PHP na sua maquina codificar o script e baixar .zip da internet ... Expus uma falha de configuração ("obrigado novamente ao fabio que retificou que não é uma falha do Squid"), que Adm's deixaram passar, mas não vem ao caso julgar tanto porque ninguem tinha conhecimento desta "falha" eu uso o meu script pois trabalho com desenvolvimento em uma empresa onde constantemente tenho q receber .tar.gz de arquivos que possuem alguma informação necessaria ao meu trabalho ... não estou induzindo ninguem a "va ... desafie seu adm de redes ... baixe virus e infecte a rede ... " coloquei o artigo pois me senti no direito de expor a outros usuarios que dependem da boa vontade de adms para requisitar downloads que são extritamente necessários para sua profissão ...

sem mais. scottys0

ps. aos que me deram classificação baixa ao meu login ... "se não gostaram do artigo, classifiquem ele não a mim ... ok"

[18] Comentário enviado por fernandoamador em 23/12/2004 - 13:41h:

Ótima apostila gostei bastante.

[19] Comentário enviado por cesarcardoso em 25/12/2004 - 19:57h:

Honestamente? Fizeram uma tempestade em copo d'água. Em vez de estarmos discutindo se o Fabio deveria deixar o artigo ir para o ar ou não, mas se a política que determinadas redes utilizam de castrar a experiência do usuário é válida, tem alguma utilidade prática além de irritar o usuário.

[20] Comentário enviado por alexandrecorrea em 29/12/2004 - 15:50h:

pra bloquear isso, o squid pode fazer controle por mime ... ;) dai:

application/* 403 :P

[21] Comentário enviado por bogo em 19/01/2005 - 15:01h:

Ei amigo, tive problemas no caso quando eu vou baixar o arquivo, ela passa pelo squid, mais ele soh baixa o arquivo com 1kb. sabe oq pode ser?

[22] Comentário enviado por removido em 13/02/2005 - 02:57h:

Gostei do que o fabio disse:
"se não temos habilidades de desenvolvedor, que atuemos pelo menos como identificadores de bugs :)"
Taí um divisor de águas: Quem trabalha por dinheiro e quem trabalha por prazer.
Parábens pelo artigo scottys0, 100 pontinho prá vc.

[23] Comentário enviado por vynny em 29/03/2005 - 14:29h:

Adorei oque alguns adms do site falaram, no meu julgamento eles disseram:
"Vamos esconder este código, ele nos ameaça! somos administradores e não podemos difundir conhecimento que possa nos dar mais trabalho", o sonho deles deve ser o de trabalhar na microsoft!
é isso ai VIVA O LINUX!!!
VIVA O SOFTWARE LIVRE!! LIVRE!!! LIBERDADE!!!
Se sua empresa não admite downloads por questões de segurança, então use os logs para tomar alguma providência, e faça uma campanha educativa.
O erro dos que tem poder é colocar barreiras para que ninguem os alcance, incentivando-nos a buscar todas as formas que encontramos para enfrentar a exclusão.
Vinicius Dittgen

DIFUNDA O SEU CONHECIMENTO, POR MAIS QUE ISSO CONTRARIA INTERESSES, SÓ TENDO NOÇÃO DO BEM E DO MAL QUE PODEMOS ESCOLHER NOSSO CAMINHO !!!

[24] Comentário enviado por crayon em 23/05/2005 - 19:14h:

Parabens pelo artigo e continue trabalhando em cima de vulnerabilidades. Eu como administrador de rede, trabalho todos os dias para tentar identificar bugs e cada vez que leio artigos e comentários de pessoas sérias e capazes como alguns que estão nesta página, fico muito feliz ... mas ao mesmo tempo triste por aqueles que pregam uma espécie de ditadura ou melhor, não quero ter trabalho!!!
Se for desta forma, os administradores que não querem ter trabalho e não sentem prazer em resolver um problema dos bons, está na profissão errada.

Atc,
Kassiano

[25] Comentário enviado por lunus em 24/01/2006 - 14:45h:

Eu trabalho com comunicação. E estou sempre necessitando de uso de internet. Downloads são impossíveis aqui (onde trabalho.)
Aos administradores de rede: deveriam verificar a necessidade de cada usuário, antes de aplicar essas "políticas de segurança" que traduzem DITADURA e PREGUIÇA de ditos profissionais que são DOGMÁTICOS. Alguns deles tem a cara-de-pau de vir aqui para achar dicas de como resolver problemas, ainda sugerem que se postem soluções para esses problemas. POLÍTICA DE SEGURANÇA NA WEB É UMA MERDA POR CAUSA DESSES VERMES!!
LCF - Jornalista

[26] Comentário enviado por eltonramos em 14/03/2006 - 11:24h:

Cara estou com um problema semelhante
meu squid bloqueia Downloads normal
mas se pegar a url e colocar "?" faz o Download
como resolver isso?

[27] Comentário enviado por soloplayer em 13/07/2006 - 20:57h:

Kra so tenho uma coisa sobre dizer de administradores de redes que bloqueiam acesso a internet a pessoas de uma organizacao, sao tudo um cambada de preguicosos que vivem reclamando de quem quer aprender com a grande rede WWW(World Wide Web - que nem sei se eles sabem o que é) eu trabalho em uma empresa e la atuo como Design e uma epoca so porque estava entrando em sites que diziam algo sobre JAVA o FDP do kra bloqueou a parada, so que eu sou programador tambem, acho que o corno pensava que eu iria roubar o trampinho lixo dele, nem quero, pau no cu dele, mas eu ainda olharei para ele de cima ainda e ele nao perde por esperar. DESABAFEI PUTA TIRAR ISSO DE DENTRO DE MIM FOI BOM, BRIGADO GALERA.

Kleber Soloplayer

[28] Comentário enviado por urisso em 13/09/2006 - 18:12h:

Não estou entendendo uma coisa... quando clicko em "Download Now" abre o arquivo "download_file.php" no editor de testo gedit ao inves de fazer o download do arquivo da URL do arquivo que coloquei em "Paste URL", cria o mesmo "download_file.php" dentro do diretorio "Download" (/root/Desktop/Download/). Crei os arquivos "index.html" e "download_file.php" em /root/Desktop/

[29] Comentário enviado por Ruy_Go em 26/05/2007 - 16:38h:

Bom, o que tenho a dizer é o seguinte:

---> Primeiro aos Admin que pediram que o artigo fosse removido:

- Sinceramente, ao invés de pedir para tirarem o artigo do ar, fizessem diferente, procurassem uma forma de controlar esse bug. Pois se você está sendo pago para encontrar as falhas de segurança de uma rede, esteja você ciente que você encontrará mil artigos muito bem explicativos ensinando a burlar as suas politicas de segurança, e você como um bom administrador, tem por obrigação de se virar, dar seus pulos e arrumar meios de contornar o problema, caso queira manter o seu emprego.
Então um conselho, procure sempre ser auto-suficiente em seus problemas diários.
Não seja do tipo que se esconde de um problema e o esconde dos demais, pois mais cedo ou mais tarde voce encontrará alguém que fará a coisa acontecer e você com certeza terá seu pescoço exposto!

Ao comentário do soloplayer, digo que se uma empresa proibe acessos a grande rede WWW como ele mencionou, isso se deve pelo simples fato dela visar um melhor desempenho dos trabalhos exercidos por seus usuários.... Se o seu admin bloqueou um conteúdo para você, com certeza ele teve motivos para tomar tal atitude...
Você não está em uma empresa para aprender com a internet, para isso compre um pc, e vá ler e aprender em casa, em uma empresa você está lá para fazer as coisas acontecerem! E com isso, você não está lá para ficar navegando na internet então existe sim uma justificativa para a atitude do administrador da rede!

---> Segundo: Aos demais e ao autor do artigo!

Parabéns mesmo pelo Artigo!!! Está muito perfeito!!

Cabe agora aos demais administradores que estavam chorando ai atoa, a aprender a configurar de forma cautelosa seus servidores....

Ou seja, tenham ATENÇÃO, DEDICAÇÃO e APRENDA A CRIAR, CONFIGURAR e ADMINISTRAR sua rede com cuidado que você não precisará passar por esse vexame de ir chorar para o moderador!!!

Digo isso pois... no meu squid esse artigo quando testei nao deu certo, meu proxy o bloqueou!

[30] Comentário enviado por diegohp em 03/01/2008 - 21:51h:

Ihh cara eu hospedei os dois arquivos e naõ chamou o scrip não
faz o download do arquivo "download_file.php"
quando clica em download now
mesmo sem colocar nenhuma url
hospedei no site 110mb que tem suporte a PHP
que será que acontece?

[31] Comentário enviado por buddy.ctba em 01/02/2008 - 19:33h:

PARA REFLETIR ...

Estava procurando formas de burlar o squid para poder criar regras mais seguras e me deparei com esse tópico. Parece engraçado ver tantas pessoas com pontos de vista diferentes e criando uma grande confusão ! Administradores de rede com medo que o código se divulgue, usuários doidos com os administradores de rede por vetarem o acesso.

Parece que ninguem parou pra refletir o porque das coisas ...

Imagine se uma empresa que possui acesso a Internet simplesmente abre esse acesso a todos os seus usuários ! Você consegue imaginar as consequencias ??? Ou você acha que todos vão se preocupar com o que acessam e se estão utilizando banda da internet como coisas futeis ? O uso da internet nunca será responsavel por todos, por esse motivo é que os administradores de rede precisam vetar o seu uso.
Imagine um bom profissional tentando acessar um sistema da matriz e não consegue pq tem outro usuário navegando em sites pornograficos, ou baixando músicas, etc .

A Politica de Segurança das empresas serve para manter serviços essenciais da empresa funcionando, ou acreditam que é apenas uma ditadura para vetar informações ??? Já presenciei várias situações onde um empresa perdeu informações valiosas devido a usuários que usavam a internet sem responsabilidade.

Para as pessoas que acham que Politica de Segurança é Ditadura, pense em comprar um acesso de internet instalar na sua casa e navegar onde bem entender. Mas quero só ver se você terá coragem de entrar em sites de bancos e digitar senhas e outras coisas tendo sua máquina não confiável, quando você se deparar com situações problematicas vai entender o porque das politicas de segurança e das atitudes dos administradores de redes.

Enfim, não quero bater de frente com nínguém apenas deixar todos refletirem e se posicionarem. Nos servidores Windows você pode criar politicas de segurança no AD e ter um pouco mais de controle sobre instalação de softwares, log de downloads, quotas de diretorios, etc. desta forma pode-se detectar formas de burlar, e pra quem goste ou não esse é o nosso trabalho, é para isso que nos pagam numa empresa, para monitorar recursos de rede para que sejam utilizados para o bem da empresa.

Por fim, o Scottys fez oque achou que tinha que fazer e foi criativo, cabe ao administrador de rede da empresa dele detectar e tentar corrigir essa falha. E nós podíamos dar idéias criativas como a do Scottys para evitar isso.

Abraço a todos.

[32] Comentário enviado por jgama em 15/03/2008 - 18:43h:

Sei que já se passou alguns anos o primeiro artigo , mas o DansGuardian na época bem configurado evitaria este problema também.

Abraço

[33] Comentário enviado por foxl em 08/07/2008 - 15:25h:

poise
asdaoisjdaosijd
o dansguardian
mais nem conheciam eu acho.
; )

[34] Comentário enviado por palmetal em 09/07/2008 - 11:33h:

Olá, para bloquear tipo de download como exe, usando php uso isso:

acl mimeblockp rep_mime_type -i ^application/octet-stream$
http_reply_access deny mimeblockp

[35] Comentário enviado por comfaa em 28/10/2008 - 13:04h:

muito legal !!!

[36] Comentário enviado por sliker_166 em 18/06/2009 - 12:00h:

Parabéns Adorei esse tópico e viva a liberdade...
OPINIÃO PESSOAL:
Odeio administradores de rede

[37] Comentário enviado por agoncalves em 24/08/2009 - 10:50h:

Bem,

Este artigo foi escrito em 2004, atualmente o Squid tem novas versões e, logicamente, novas implementações que podem corrigir essas falhas.
Se há a necessidade de baixar arquivos durante o trabalho e se o seu service desk demora [muito] pra te dar essa liberdade, não seria melhor fazer valer aquele ip fixo que a NET te deu e acessar a sua máquina de casa remotamente?rsrs Existem soluções para acesso remoto em conexões com DHCP [ex: Velox] Dai vc configura um server ftp p/ transferência dos arquivos pro seu pc de trabalho!

É melhor, menos arriscado e basicamente imperceptível!

# Dica: A maioria dos "administradores de rede", mesmo sendo mto odiados, ainda usam as versões mais antigas do squid!rsrs Ou seja, é possível burla-las!
# Dica: Todos os servidores proxy, nos quais eu tropecei até hoje, tinham as portas de FTP liberadas. Era só utilizar um programa para ftp [FileZilla, CoreFTP, GuildFTP, ou simplesmente o 'ftp' do prompt do windows] para baixar todos os arquivos necessário sem problemas!
# Dica: Existe um programa que levanta os relatórios de tráfego do squid... preciso dizer mais alguma coisa!? XD

[38] Comentário enviado por rogeriofox em 10/09/2011 - 18:28h:

Concordo plenamente com a posição do Fábio! Concordo com Vynny e Buddy.Ctba em seus pontos de vista. Parabenizo Scottys0 pelo artigo. Eu como administrador de redes estava pesquisando sobre sistemas de arquivos para proxy e achei esse artigo com riquíssima técnica para burlar. Isso me faz pensar e reforçar a segurança de minha rede, que se por algum motivo der problema, eu serei responsabilizado. O aprendizado vem com os testes, tentativas, laboratórios, erros e acertos. Aqui no VOL é o espaço certo para isso. Administradores que não se sintam à vontade com a filosofia do site, que é igual ao Software Livre, liberdade de conhecimento para desenvolvimento, por favor, se retirem e não peçam absurdos de tirar um artigo do ar, que já passou por uma moderação! Se a filosofia é da caixa preta, do software proprietário estão no lugar errado. É pra isso que o VOL existe, para nossa comunidade, para troca de experiências e apoio aos que querem migrar para o SL/Linux.
Mais uma vez parabenizo o Scottys0 e agradeço ao Fábio por essa visão e manutenção de sua posição. Parabéns para os que são a favor do conhecimento livre e se manifestaram nessa artigo. Abraço à todos!