On Sun, Jun 24, 2012 at 6:40 PM, Eric Pinkerton <span dir="ltr"><<a href="mailto:Eric.Pinkerton@stratsec.net" target="_blank">Eric.Pinkerton@stratsec.net</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">>Is this not standard behaviour for most anti-nasty installations on desktops?<br>
<br>
</div>This thought had crossed my mind, not least because it buggers with peoples webstats/analytics in much the same way but I had discounted it because the user agent is different from the real request, and would be key to determining if the handset in question was vulnerable to say, a drive by attack.  Also the sequence is wrong - legit request typically lands first, and also both requests seem to be independent (ie if legit request get's a 404, the other request still appears)<br>
</blockquote><div><br>The order isn't necessarily wrong.  There's a number of very well-known security products that do this type of request (although not this exact pattern, at least not for the ones I'm aware of) after the initial request has occurred.  It's generally referred to as a sacrificial lamb concept, where if the content is bad then the initial requester gets infect, but any future requests from other users will be blocked.  Blue Coat, Websense and Zscaler all do this in some form of other, although as I said not with the exact pattern seen here.<br>
<br>Whilst doing it in the reverse order might seem to make more sense, and might stop that one client getting infected, it introduces additional latency and generally requires significant more capacity to do.<br><br>  Scott<br>
<br><br> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div class="im"><br>
> Maybe smartphones are doing the same thing and/or Telstra is emulating that behaviour for themselves...<br>
<br>
</div>If it was an anti malware offering then I would have expected them to test and refine it to a point where it is of some use, and then had the marketeers doing singing and dancing before enrolling all of their customers.  Finally It happens on Telstra's http proxies, not on the handset/browser/client etc, etc.<br>

<span class="HOEnZb"><font color="#888888"><br>
<br>
--<br>
</font></span><div class="im HOEnZb">Message  protected by MailGuard: e-mail anti-virus, anti-spam and content filtering.<a href="http://www.mailguard.com.au/mg" target="_blank">http://www.mailguard.com.au/mg</a><br>
<br>
</div><div class="HOEnZb"><div class="h5">_______________________________________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
</div></div></blockquote></div><br>