[cancellato] L'educazione forse aiuta molto di più

Da padre, confermo... Peraltro coi dati mobili (e blindare quelli diventa un problema politico-familiare) il proxy e suoi bei controlli, ciaone

Ma dai non lo sapevo.

Io ero rimasto al proxy HTTP e basta.

Comunque concordo con tutto il resto

E una volta che una lista di tutti gli url visitati deve comunque andarli a vedere tutti a mano

[cancellato] Nulla, personalmente odio le politiche del terrore (ma non ho figli, parlo in ottica anche aziendale/collaborativa)

Ma manco io. Con il lavoro che faccio è impossibile, ragiono in ottica "diversa", nel senso che mi dicevano dove potevo/non potevo andare, per esempio "evita i social" e mi spiegavano soprattutto il PERCHÈ non dovevo andarci, e acquisivo la consapevolezza, che è la cosa più importante.

[cancellato] L'educazione forse aiuta molto di più, e dove non arriva questa dovremmo tornare alla supervisione parentale

Cosa che la maggior parte dei genitori (NON è UN INSULTO) non sanno manco dove sta di casa.

[cancellato] Poi nascono 3000 software apposta per girare attorno ai paletti, ma appunto se hanno smartphone è più semplice passare ai dati mobili.

io sviluppavo proprio gli script apposta, per sfondare i blocchi, per PC, per i cell bastava qualche piccolo "trucchetto" e voilà.

Comunque a parte dilungarci su questioni non proprio tecniche... @MicheleMarcon ha avuto la sua risposta.

Con Squid e tante bestemmie e configurazioni riesci a tirar fuori gli URL visitati... ma poi devi aprirteli comunque tutti a mano.

Se stanno appena iniziando ad usare internet (tu dici che hai un PC Linux su cui vai a vedere la cronologia) ci può anche stare, ma allora tanto vale controllare quel PC (disattiva la modalità incognito però) se hanno cellulari o altri dispotivi più difficilmente controllabili lo sforzo diventa ingente e i modi per bypassare tutto si moltiplicano.

    Ho visto la presente situazione (ci tengo a precisare, figli di altri):

    • Internet a casa loggato e filtratissimo (whitelist 🤣)
    • smartphone senza dati mobili
    • figlio connesso al wifi del vicino e con Internet key vodafone intestata all'amico maggiorenne

    Quindi non serve a una mazza, anzi...

      • [cancellato]

      edofullo devi aprirteli comunque tutti a mano.

      Ci sono delle liste di categorizzazione, ma a quanto so quelle che hanno senso sono legate a prodotti enterprise, con relativi costi... I più abbordabili sono i Fortigate, forse qualcosa fanno i Sophos che hanno la versione gratuita per uso personale (ma non ricordo se ci sia URL filtering).

      Alfoele Questo lo puoi evitare con la gestione del telefono, ma anche qui sono strumenti volti al mercato biz (leggi, MDM). Non so se Google abbia previsto qualcosa, se riesco mi informo e vi aggiorno.
      Per filtrare i dati mobili si potrebbe forzare una VPN totale verso casa su cui fare filtri, ma siamo abbondantemente nel territorio paranoia. 😉

        • [cancellato]

        Una nota però su quel tutorial: non installate MAI una CA che non sia unicamente la vostra - una volta che installate una CA tutto quello firmato da quella CA sarà considerato valido - ancora più pericoloso se anziché essere solo nel browser è una CA a livello di sistema operativo. E già aggiungere il repository di un "diladele" qualsiasi... piuttosto scaricate solo il package che vi serve, se non potete fare la build voi stessi.

          [cancellato] Questo lo puoi evitare

          No ma la mia naviga liberamente sia mobile che wifi. E cmq anche volendo la riterrei una guerra persa oltre che inutile, ripeto che imho l'educazione non si fa con le proibizioni né di Internet, né di tutto il resto...

          • [cancellato]

          [cancellato] Assolutamente corretto, era il primo link che mi è capitato sottomano per fare capire il concetto.

          Per chi non vuole sbattersi la versione distribuita con pfsense e opnsense può operare come proxy con SSL inspection. 😉

            • [cancellato]

            [cancellato]

            Molti tutorial effettivamente tirano via su questi aspetti, senza rendersi conto delle implicazioni - quando si ha a che fare con CA e repository però dovrebbero rendersi conto che stanno consigliando agli utenti di dare accesso a terzi ai loro sistemi, accidenti 😁 Quando gli appioppi una bella CA con chiave privata disponibile a cani e porci poi il phishing diventa un gioco da ragazzi. Meno male che vuole diffondere la cultura della cybersecurity. Doveva guardare meno Dragon Ball, magari.

            Diladele sembra una società Olandese che vende prodotti per la sicurezza web. Io comunque evito di aggiungere repository senza un'attenta verifica. Un conto è aggiungere quello ufficiale di Postgres, per dire, un altro quello di sorgenti un po' meno conosciute. Poi i rischi ci sono comunque - vedi attacco al Git di PHP.

            Per chi vuole farsi i propri certificati consiglio https://hohnstaedt.de/xca/ - è un tool che permette di creare e gestire facilmente i certificati, tramite una comoda GUI per compilare quanto necessario. Ha già anche dei template per creare i certificati più comuni con le configurazioni corrette. Io lo uso per i certificati interni ovunque non abbia una CA Windows (che ha il suo gestore di certificati).

              MicheleMarcon tra gli adolescenti di oggi quelli che lasciano tracce sono ormai davvero pochi... i miei figli (13 e 15 anni) da molti anni ormai hanno già imparato a bypassare qualsiasi sistema di logging, storico del browser ecc. Basti pensare che l'app più usata per la navigazione su smartphone, ipad, iphone e tablet vari è Firefox Focus o i classici browser con navigazione anonima, le chat di whatsapp se le guardi sono quasi sempre vuote perchè o archiviano regolarmente o cancellano, idem tutto il resto. Pensavo fossero solo i miei così "smart" ma guardando e chiedendo in giro ho capito che è così per tutti, siamo davanti ad una new generation...
              L'unica cosa è dare principi sani, tanta fiducia (ma sempre basata su ottimi presupposti e verificabile), una famiglia stabile e sperare che siano coscenziosi, altro non mi viene in mente.
              In bocca al lupo!

              Grazie a tutti per i contributi, tecnologici e non!

                alfonsof
                Nella tua domanda c'è qualcosa che per te è ovvio ma per me no...😶

                [cancellato] Con sophos xg si puo fare ssl inspec 8mettendo le ca sui device) e anche con la versione free (home) fino a 50 device.

                [cancellato] i Sophos che hanno la versione gratuita per uso personale (ma non ricordo se ci sia URL filtering).

                Si c'è l'URL filtering anche sulla versione gratuita con le classiche liste di categorizzazione di Commtouch/Cyren che bene o male usano tutti i vendor di firewall 🙂

                18 giorni dopo

                MicheleMarcon Stasera ero stranamente 😂😭 a casa e mi sono messo a giocare con sslsplit, se ancora ti interessa, in un minuto ti fai il proxy con ssl inspection, ci ho navigato un po', niente di più, e non funge male. Va da sé che necessita di cert trusted sui client. E' sufficiente che la macchina dove gira sia il default gw dei client, nessun proxy da settare.

                Per farla brevissima...

                I 2 cert:

                openssl genrsa -out ca.key 2048
                openssl req -new -x509 -days 365 -key ca.key -out ca.crt

                Iptables:

                iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
                iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443

                Sslsplit:

                dir="DOVETIPARE"
                ./sslsplit -D -l $dir/connections.log -j $dir -S $dir -k $dir/ca.key -c $dir/ca.crt ssl 0.0.0.0 8443 tcp 0.0.0.0 8080

                Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                P.I. IT16712091004 - info@fibraclick.it

                ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile