версия Squid 2.7 Stable
авторизация пользователей организована с выводом запроса логина-пароля.
есть "чёрный список" запрещённых сайтов (в частности, вконтакте) под названием badside, организованный посредством url_regex
к заблокированным сайтам, тем не менее, нужно иметь доступ с двух конкретных логинов (группа vip, состоящая из логинов boss и admin).
существенные для данной задачи строки конфига:

acl password proxy_auth REQUIRED
acl vip proxy_auth admin boss
http_access deny !password
http_access deny badsite !vip

всё замечательно, кроме как при посещении сайтов, на которых есть ссылки вида "поделиться в соц. сетях". у пользователей снова вылезает окно авторизации прокси.
если в последней строке оставить только:

http_access deny badsite !vip

то окно авторизации повторно не вылезает, но доступ к сайтам чёрного списка подобным методом становится невозможен.

собственно, вопрос - что нужно изменить в конфигурации, чтобы оно работало, как задумано?
заранее спасибо за помощь.