La página de bloqueo antivirus presenta un comportamiento incoherente
Symptom
Probar una descarga de virus desde diferentes sitios web usando desencriptación SSL produce resultados diferentes.
A veces se recibe una página de respuesta que indica el bloqueo de descarga de virus/spyware, y en otros sitios no se ve una página de respuesta. En el primer caso, también se puede ver que siempre que se activa la página de respuesta, un reset sólo se envía al servidor. La razón de esto es que en lugar de restablecer-ambos, el Firewall presenta una página de respuesta al cliente y un reset al servidor.
La acción configurada para el perfil antivirus se restablece-ambos.
Se presentan dos muestras del archivo EICAR, alojados en diferentes sitios web:
Primer sitio web
https://Secure.eicar.org/eicarcom2.zip
En el momento de la prueba, Secure.eicar.org resuelve la dirección IP 213.211.198.58
La entrada de registro de amenazas resultante muestra una acción de restablecimiento:
El navegador web no presenta una página de respuesta:
Segundo sitio web
https://www.ikarussecurity.com/fileadmin/user_upload/testviren/eicarcom2.zip
En el momento de la prueba, www.ikarussecurity.com resuelve la dirección IP 91.212.136.200
El navegador web presenta una página de respuesta:
Resolution
El comportamiento es "según lo diseñado".
La razón del comportamiento presentado con el primer sitio web, https://Secure.eicar.org/eicarcom2.zip, es, no detectamos la amenaza en el primer paquete de la respuesta. En este caso, los encabezados HTTP ya se habían transmitido al cliente. En esta situación no podemos enviar la página de respuesta, y por lo tanto la única acción tomada es enviar un reset tanto al cliente como al servidor como se configura en el perfil.
En el caso del segundo sitio web, https://www.ikarussecurity.com/fileadmin/user_upload/testviren/eicarcom2.zip, detectamos la amenaza a tiempo, en el primer paquete de la respuesta, por lo que somos capaces de enviar una página de respuesta al cliente.