Ce matin, surprise en ouvrant mon navigateur chez le client où je travaille. Google Reader est bloqué par le proxy applicatif qui filtre le trafic et donc notre activité sur Internet. Je vous passe les noms d’oiseaux que j’ai utilisé, mais franchement, ras-le-bol. A cela s’ajoute des sites certainement très dangereux comme Amazon S3, ce qui nous empêche de récupérer des ressources Spring pour travailler. Par contre YouTube marche entre midi et deux, histoire de ne pas louper la dernière cascade limbiale de SecretStory…
Je comprends le responsable d’équipe, inquiet de voir une équipe de développeur entrain de surfer sur Internet, lire des blogs à 13h50 en mangeant un sandwich, bref très inquiet à l’idée que ses poulets biologiques puissent décompresser 3mn avant de reprendre une activité de production aussi excitante qu’un string taille 62… Y’a de quoi déprimer.
Alors oui, on devient mal poli et subversif. Bloquer l’accès à des sites de piratage et de peer-to-peer, bien entendu. Mais bloquer un système qui permet de lire d’un coup d’oeil les derniers messages sur les blogs, je trouve cela super dommage. Et je reste poli pour que ce message ne soit pas censuré par le moteur en question…
Enfin heureusement, comme l’outil de filtrage est super bien configuré, je me suis aperçu que www.google.com/reader était bloqué, mais pas d’autres urls comme www.google.fr/reader.
(gros soupir)
Et vous ? est-ce que votre activité de surf est limitée en entreprise ?
En effet, j’ai connu ça aussi et c’est bien navrant. A voir si les internes ont cette limitation aussi ?
En même temps, c’est peut-être la cellule d’archi., qui a peur du lobbying de ses dévers. sur le passage de Java 1.3 en Java 1.4 !
Chez mon client également. Ils utilisent un filtre qui s’appelle WebWasher.
Ce sont tous les sites tagués comme étant des blogs qui sont bloqués par défaut chez mon client. mais google Reader est autorisé.
Par contre, comme ils sont pas complètement stupides, ils ont mis en place un système de proxy avec authentification qui permet d’accéder à tout le net sans limite. L’accès au proxy étant réservé à la DSI.
J’ai des collègues qui sont déjà allés chez des clients qui bloquaient purement et simplement l’accès à l’internet à leurs développeurs. mais là c’est carrément de la débilité profonde.
J’ai entendu dire que le WebWasher (le système utilisé ici) filtrait également le contenu des sites et notamment certains caractères ce qui posait de gros soucis à des scripts GWT obfusqués qui utiliseraient les fameux caracteres. Info à confirmer…
J’ai eu un client qui filtrait sourceforge (site de téléchargement comme disait le proxy) mais ne fournissait pas les javadocs des api disponibles…
J’ai aussi vu ceux qui filtre les types de flux (tu peux te connecter à deezer mais l’écoute ne marche pas….)
En mission pendant 2 ans dans une grande école de commerce à Cergy Pontoise (dont je tairai le nom 😉 ), j’étais en but aux mêmes tracasseries (en pire). Par défaut rien ne sortait et rien n’entrait d’autre que du HTTP et les sites web étaient filtrés. En fait, les machines en internes ne se voyaient pas par défaut, il fallait demander une autorisation pour ouvrir le port Oracle ou Tomcat d’un serveur vers sa station. Inutile de dire que ça nuisait énormément à la productivité. Tout ça parce qu’un gars pensait qu’il fallait rentabiliser le firewall.
C’est à cette époque que j’ai commencé à utiliser les solutions de tunnelling comme http-tunnel et à utiliser intensivement la connexion 3G de mon Nokia (ce ne serait plus possible avec mon iPhone actuel).
Le syndrome du « petit chef » ou du « gardien de parking » est beaucoup plus répandu qu’on ne le pense. Courage !
Le pire que j’ai eu c’est un GMail bloqué. Et là, t’as beau leur dire que ça va leur couter cher (je suis abonné à 1001 mailing list techniques depuis 4 ans, ça fait une sacré base de connaissance), rien n’y fait. Déprimant.
Mais sinon, le best-off, c’était une attaque virale. La société toute entière n’a pas eu internet pendant presque une semaine. Un truc de fou. Il fallait envoyer des mails pour que la sécu ouvre les accès au compte goute. java.net n’a jamais été ouvert durant ces 7 jours, par contre, en qques heures, le site du Figaro était accessible.
J’ai connu le zéro-internet par défaut.
Il fallait faire une demande motivée à son N+2 pour avoir accès sur son poste.
Pour les prestas, l’accès au net à la messagerie était sur un poste séparé, au bout du couloir dans un bureau … occupé.
Conséquence : pas mal de dérangements pour les habitants.
Ah, et les clefs USB étaient rares et interdites.
Aujourd’hui, c’est mieux (ailleurs) : accès complet.
Astuce : parfois, quand c’est mal fait, le blocage est au niveau DNS mais rien n’empêche de mettre l’IP dans le navigateur.
Courage Ô inestimable Touilleur
A vrai dire, pour te répondre je tente une approche furtive ( on verra si le post passe ;P ).
Et oui, le Touilleur est bloqué ! Comme beaucoup d’autre sites.
Mais depuis peu, Reader repasse à nouveau, donc je peux te suivre quand même !
C’est souvent un plaisirs de rechercher une exception, de voir dans le résume sur Google que quelqu’un à le même soucis que moi … pour me voir refuser le site en question 🙁
Enfin, on est pas des plus à plaindre, on a tout de même un poste sur un réseau à part, qui lui n’est pas bloqué.
Mais pas tout le temps ultra pratique ( Pas de copier coller, impossible de prendre la dernière version de XXX pour l’amener vers les postes de Dev, etc .. )
Pour info, j’ai posté le précédent message en prenant la version ‘Cache’ du Touilleur Express dans Google 😛
Pour Ulrich : je confirme, les internes sont également privés des ces ressources (d’un autre coté, je les vois mal maintenir deux configurations différentes). La solution anti-lobbying de la cellule d’archi. est en revanche une explication envisageable 😉
Aaah Webwasher, ici aussi on y a droit
j’ai fait mouliner 5000 fois l’url de débloquage pour me faire débloquer le site du chtijug, ça n’a pas toujours fonctionné (je précise que j’avais fait ça calmement auparavant 2 ou 3 fois 😀 ), pas mal de bloges techniques sont bloqués, par contre Facebook on peut tout y faire à n’importe quelle heure
Sur mon ancienne mission, gmail n’était autorisé qu’à hauteur de 1h par jour, sachant que y acceder signifiait obligatoirement ouvrir une session de 10 minutes. mais https://gmail.com, ça passait outre
C’est blasant
j’ai eu droit à une privation d’1 mois d’internet après avoir donné ma lettre de démission.. sûrement pour ne pas perturber mes collègues pdt ma recherche d’emploi 😉
J’ai eu chez un client le filtrage par mots-clés. Si le filtre trouvait des mots clés (dans la page ou l’utl, je ne sais pas), il renvoyait une belle page « interdit! » à la place de la page demandée.
Je me souviens que le TheServerside (qui était le site web de référence à l’époque, c’est dire c’était il y a longtemps!) était caviardé de pubs refusées. ça faisait curieux. Disons que dans le cadre de ce client ça faisait typique.
Maintenant avec la 3G, une petite clé de rien du tout, et … Et ils vont devenir fous les sysadmins, quand ils vont se rendre compte du trou de sécurité. Dans deux ans
On se moque mais le filtre de WordPress n’a pas laissé passer mon tag que j’avais appelé « méchanceté gratuite » et qui ornait la dernière phrase!
Moi aussi, du webwasher
– twitter et friendfeed sont bloqué
– les pages dont url contient ebay (par exemple article infoQ sur son architecture ne passe pas)
– et le plus fort : GWT, il remplace certains caractère se qui fait que le javascript ne marche plus 🙁
Une parade est de passer par du https quand le site le supporte (facebook par exemple)
J’avais connu webwasher dans une ancienne mission, j’avais eu des difficultés à télécharger aspectj, la plupart des mirroir était bloqué.
J’avais aussi entendu parler d’un blocage webwasher, sur le téléchargement d’une doc spring, raison : documentation technique.
Autre histoire amusante, un ancien collègue avait eu un blocage dans un ancienne mission lors d’une recherche google sur une fonction « isExist » … hé oui, il a « sex » dedans…
Si le filtrage est de type blacklist plutôt que whitelist, un simple tunnel SSL avec ssh vers une machine avec un démon sshd sur le port 443 et le tour est joué (l’option -D de ssh permet de transformer ton tunnel en proxy socks). Cela oblige à avoir une machine sur le net mais c’est le prix à payer. S’il y a un proxy utiliser la commande ProxyCommand dans la conf du client ssh, et si le proxy est authentifiant sur le domaine Windows, il y a des chances que cela fonctionne avec l’outil ntlmaps.
Enfin, bref ils feraient mieux de détecter ceux qui mettent en place des tunnels justement. J’espère que c’est le cas (à une certaine époque blvd des Italiens ou rue de Sofia,ça ne l’était pas). A l’heure de l’accès au net avec les smartphones ou clés 3G, ça crée une injustice avec ceux qui ont ce type d’équipement 😉
@Hello_World
c’est exactement ce que je faisais jadis 😉
ntlmmaps pour passer l’authent NTLM du proxy, puis flux SSH sur le 443 (pour passer le proxy) vers mon ordi maison. Et tunelling de tous les ports … ça marchait bien 😉
Sinon, de nos jours, suffit de se prendre un Service OpenVPN qui autorise le passage par TCP/443 … et l’accès total, sécurisé et anonyme est dispo 😉
@Hello_World et @manatlan je sens que je vais écrire un article prochainement sur comment monter un tuyau vers l’extérieur…
Je n’encourage pas forcément l’utilisation d’un tunnel ssh, mais je n’aime pas l’idée qu’une personne humaine sélectionne ce que l’on a le droit de voir ou pas. Et qu’en plus elle ne soit pas compétente pour le faire, puisque nous utilisons toutes les autres URL vers Google Reader pour travailler malgré ce filtrage à deux balles…
Dans incompétents il y a « un con pétant »
Et ho, on ne veut pas vivre grassement sur le dos de son client et ne pas avoir de mauvais coté ;). Plus sérieusement, regarde du coté d’OpenVPN, ca passe très bien les proxys (classique, pour les saloperies MS je ne sais pas).
C’est, je trouve, un signe assez fort de la culture de l’entreprise (command & control), ou l’on préfère avoir des milliers de petites mains avec une tétrachié de middle managers pour taper et vérifuer que d’avoir des petites équipes de gens motivés a qui tu fais confiance. Et la gestion des connaissances / montée en compétence, ca fait juste beau sur des powerpoints…
Et chez moi, pas de filtrage, ce qui est logique puisque je gère le FW :). BTW, je trouve les blocages logiques vers certains trucs quand il y abus (youtube par ex.), autant le blocage généralisé me semble véritablement stupidité.
Chez mon employeur (une banque) c’est aussi sévérement filtré (notamment GMail et autres Webmails). Très stupide …
A une époque j’avais utilisé Tor pour passer outre le filtre et ça marchait assez bien (même si la navigation est un peu ralentie). Désormais je ne bypasse plus le proxy car plusieurs personnes se sont retrouvées à la porte pour l’avoir contourné alors attention à vous si vous faites un tunnel. Vive l’iPhone en somme 🙂
Mettez tout le monde à Agile, ils n’auront plus le temps de glander sur internet 🙂
Plus sérieusement, ça va dans les deux sens… A la base il y à les mecs qui pensent « De toutes façons, vu qu’on est cadre et qu’on a pas d’horaires, quitte à être obligé de rester 9h au boulot, je veux pouvoir passer 1 ou 2h pour faire mes trucs perso sur internet… »
Alors après forcément la boîte fait bloquer les accès à la moitié d’internet et ça pénalise tout le monde, y compris ceux qui voudraient utiliser leur gmail pour poser une question sur une liste de diffusion…
@antonio Toutes les messageries (web) sont toujours bloquées, professionnelles ou pas, juqu’aux messageries internes de services web (linkedin) mais gReader est toujours là…
Ces blocages sont pénibles, et faire un tunnel ssh vers l’extérieur est bloqué dans ma banque…J’avais posté un petit howto à l’époque :
http://betabloguant.free.fr/index.php?2007/05/31/434-l-histoire-du-tunnel-ssh
Attention quand même aux risques légaux…
Ami Touilleur, je soutiens ta cause !
Je suis d’accord sur le fait qu’il faille filtrer certains types de sites (p0rn ou p2p par exemple). Mais filtrer à outrance, c’est finir par obtenir l’effet inverse.
Là où je travaille, j’ai beaucoup (trop) de restrictions : pas de GMail ou de Twitter par exemple. Mais pire encore, je suis de moins en moins maitre de ma machine : liste restreinte d’applications (alors moi qui adore installer 50 utilitaires sur mon PC, je suis malheureux), plus de droits de téléchargements, clés USB interdites, bientôt plus de droits d’admin…
Ca vire au n’importe quoi !
Quant au tunneling, je n’ai jamais opté pour cette solution, étant donné que la demarche est généralement considérée comme illégale au sein des entreprises…
De t’façons, j’ai mon iPhone maintenant ;o)