Firewall und Spiegel Online

Dieser Artikel beschreibt ein Problem speziell mit Watchguard Firewalls und Spiegel Online (SPON). Vielleicht ist es aber auch bei anderen Firewall-Lösungen nützlich.

Wir hatten in den letzten Wochen bei einigen Kunden das Problem, dass sich bei SPON der Hinweis, dass man doch bitte den AdBlocker ausschalten solle, öffnete, obwohl kein AdBlocker installiert war. Die Ursache ließ sich relativ schnell auf den HTTP-Proxy-Dienst der eingesetzten Firewall (Watchguard) eingrenzen. Es hat aber dann tatsächlich noch etwas gedauert, bis klar wurde, was genau das Problem verursacht. Nachdem wir zunächst SPON in die Proxy-Ausnahmen eingetragen und auch testweise Virenscan und andere Dienste im Proxy deaktiviert hatten, war eine Analyse des Netzwerkverkehrs nötig, um festzustellen, dass bestimmte HTTP-Header-Informationen vom Proxy entfernt werden, die – wie sich herausstellte – für die Funktionalität des Anti-AdBlocker-Prüfscripts bei SPON nötig waren.

Letztendlich hat geholfen, das Pattern

Access-Control-Allow-Origin:*

bei den Response-Headern zu erlauben.

Interessanterweise hatten nicht alle Kunden mit Watchguard das Problem. Es ließ sich allerdings auf die Kunden eingrenzen, die schon vor dem Jahr 2016 auf Watchguard als Firewall-Lösung setzen. Möglicherweise hat Watchguard irgendwann mal in die Standard-Einstellungen für HTTP-Proxys den Header-Typ aufgenommen, weshalb bei neueren Watchguard-Kunden der Header bereits erlaubt wird. Wenn man aber bei alten Kunden die bestehende Konfiguration von alten Geräten auf neue Geräte importiert, wird die Standardeinstellung überschrieben und nur die veraltete Header-Typ-Liste wird verwendet.