| 1.1, Аноним (-), 09:57, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– | |
> Также доступен пример JavaScript-кода для совершения атаки.
А есть Torrent-клиенты без поддержки JavaScript? (типа как Links2 среди веб-браузеров)
| | |
| |
| |
| 3.24, scorry (ok), 11:55, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Хороший клиент. Только демонизироваться не умеет, к сожалению, поэтому приходится всякие телодвижения совершать в начале настройки.
| | |
| |
| |
| 5.42, scorry (ok), 16:09, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> запускаю его в screen-e
У меня аналогичная история, дружище. Так он у меня и работает, с мордой на руТорренте. Кое-кто даже публиковал сыстемд-юниты для него, а я их пытался у себя внедрить, но как-то у меня не заработало сначала, а потом заработало, но не так, как обещало, а скрипт из рц.локал, который запускал скрин и пинал в него рторрент, и так нормально работал, так что я вот эти вот свои вялые трепыхания в сторону совершенства и порядка прекратил.
| | |
|
| |
| 5.43, scorry (ok), 16:10, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> git версия умеет (branch feature-bind)
О. Интересно. Спасибо, посмотрю. Форк или фича от автора?
| | |
|
| 4.44, Ivan_83 (ok), 16:29, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Я его патчил чтобы он демоном был, при этой гуй консольный выпиливал.
Автор патч не взял, так он у меня и используется приватно.
Могу выложить.
| | |
| |
| 5.45, scorry (ok), 17:44, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Я его патчил чтобы он демоном был, при этой гуй консольный выпиливал.
> Автор патч не взял, так он у меня и используется приватно.
> Могу выложить.
Пожалуйста, выложите. А чем управляли без гуя — через веб?
| | |
|
| 4.70, Аноним (-), 03:13, 17/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Хороший клиент. Только демонизироваться не умеет, к сожалению
...и вебфэйс еще ужаснее, и RPC протокол вместе с ним: те же яйца, вид в профиль, только вместо JSON-а еще и XML к тому же зачем-то. Бессмысленно и беспощадно.
| | |
| |
| 5.78, scorry (ok), 12:05, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> Хороший клиент. Только демонизироваться не умеет, к сожалению
> ...и вебфэйс еще ужаснее, и RPC протокол вместе с ним: те же
> яйца, вид в профиль, только вместо JSON-а еще и XML к
> тому же зачем-то. Бессмысленно и беспощадно.
Ну не знаю... Раз настроил, плагинов понацеплял, и работает себе. Веб-фейс, кстати, далеко не один, если я корректно припоминаю. Кстати, чего вам в том же руТорренте не хватает?
| | |
| |
| 6.80, Аноним (-), 00:36, 18/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Для трансмишна тоже морд хватает. И в отличие от всего этого креатива это просто хтмлки перекидывающиеся с бэкэндом трансмишна AJAXом. А то что я вижу для рторента - еп, там пых какой-то. Вот чего мне не хватало так это пыха. Особенно на роутере или одноплатнике. И пых совсем не похож на кучу дыр.
Интересно, насколько по вашему сложно похожую морду перенести на чистый AJAX и трансмишн? Чтобы без всяких пыхов :)
| | |
| |
| 7.83, scorry (ok), 11:23, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Особенно на роутере или одноплатнике.
Ну, роутеры, положим, очень разными бывают, как и одноплатники.
> Интересно, насколько по вашему сложно похожую морду перенести на чистый AJAX и
> трансмишн? Чтобы без всяких пыхов :)
Не знаю, я не писатель.
| | |
| |
| 8.87, Аноним (-), 00:27, 19/01/2018 [^] [^^] [^^^] [ответить] | +/– | Трансмишн прекрасно живет на хомякороутере с 64 мегами RAM или более Можно даже... большой текст свёрнут, показать | | |
|
|
|
|
|
| |
| 4.88, Аноним (-), 00:28, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Торрентокачалка без µTP - это примерно как комп без USB.
А при чем тут uTP? Как он к JS относится? Transmission кстати uTP умеет давным давно, если что. И даже умеет делать его предпочитаемым, если ремота uTP умеет. Так канал меньше забивается и остальное не лагает.
| | |
|
|
| 2.21, Рыба ест людей (?), 11:31, 16/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Так javascript выполняется не в torrent клиенте, а в браузере пользователя, на хосте которого крутится демоном transmission.
| | |
| |
| 3.56, Аноним (-), 00:16, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
Парадокс rtorrent и aria2 в том что их тоже тухловато без вебгуя использовать. И к обоим есть вебгуи. Но в силу маргинальности направления они не особо протестированы кем либо. Про них вы такое узнаете как-нибудь потом.
А совсем без вебгуя неинтерактивный торент клиент рулить... ариа2 так вообще с торентами довольно криво работает, что с гуем что без.
| | |
|
| 2.69, Аноним (-), 03:12, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> А есть Torrent-клиенты без поддержки JavaScript? (типа как Links2 среди веб-браузеров)
Можно у сабжа не включать RPC или включить но с паролем. Он собственно и отключен по дефолту почти везде. Это его надо явно врубить, да еще без пароля, и вот тогда хакеры в столовой все-таки сопрут солонки. Может быть. Если смогут своей вебстраницей порулить RPC трансмишна, угадав айпи и порт и он и правда без пароля.
| | |
| 2.79, тигар (ok), 22:09, 17/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >> Также доступен пример JavaScript-кода для совершения атаки.
> А есть Torrent-клиенты без поддержки JavaScript? (типа как Links2 среди веб-браузеров)
lftp (лень листать комменты, может уже и успели посоветовать, хз)
| | |
| |
| 3.86, Michael Shigorin (ok), 22:50, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > lftp (лень листать комменты, может уже и успели посоветовать, хз)
Раз у Вас в телнете даже поиск не работает -- давайте хоть я сообщу: нет, не успели, и да, офигел; спасибо 8)
| | |
|
|
| 1.2, Онанимус (?), 10:02, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Еще один плюс в использовании LEDE. Браузер на ноуте, transmission на роутере.
| | |
| |
| 2.14, angra (ok), 10:52, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 А уязвимость та же, хоть и чуть больше времени уйдет на перебор ip роутера. Или ты думаешь, что есть принципиальная разница для dns сервера в выдаче 127.0.0.1 и 192.168.0.1?
| | |
| |
| |
| |
| 5.71, Аноним (-), 03:17, 17/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> При использовании пароля и localhost вариант неуязвим.
Интерфейс ремотного управления без пароля - вообще не очень хорошая идея, мягко говоря.
| | |
|
|
| 3.28, Онанимус (?), 13:06, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Или ты думаешь, что есть принципиальная разница для dns сервера в выдаче 127.0.0.1 и 192.168.0.1?
Я думаю, что есть принципиальная разница между автоматическим харвейстером и ручным взломом. Плюс еще не забыть перебрать IPv6. Да еще TTL чтоб не сдохла.
Никто не будет заморачиваться этим, долбя по площадям.
| | |
| |
| 4.61, angra (ok), 02:09, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
А причем здесь ручной взлом? Будет на страничке не один iframe и A запись, а несколько десятков или даже сотен.
IPv6 only в локальной сети? Если такие извращенцы и существуют, то их можно игнорить.
| | |
| |
| 5.75, Онанимус (?), 10:07, 17/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> IPv6 only в локальной сети? Если такие извращенцы и существуют, то их можно игнорить.
Вот и я о том же. Ни кто не будет писать зловреда, перебирающего не то что IPv6, но даже пару адресов IPv4. Задача зловреда накрыть максимум территории, а не гоняться за никому не нужным Неуловимым Джо. И в этом его ключевое отличие от адресного взлома.
Тем более, что кулхацкер не может быть уверен, что его страницу открыли из домашней сети, а не из сети предприятия с развернутой IDS/IPS, которая безусловно заинтересуется - какого хрена комп манагера Васи сканирует сеть на нестандартный порт. Так ведь и спалица не долго ;)
| | |
|
|
| 3.35, КО (?), 14:36, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
>Или ты думаешь, что есть принципиальная разница для dns сервера в выдаче 127.0.0.1 и 192.168.0.1?
Ну, скорее всего, в этом случае DNS браузеру будет отдавать сам роутер и заставить его играть с TTL
сложнее.
| | |
| |
| 4.60, angra (ok), 02:06, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Ты вообще в курсе, как работают NS в кеширующем режиме? Для того, чтобы они игнорировали TTL, придется лезть в их настройки или даже в исходный код.
| | |
|
|
| |
| 3.62, Аноним (-), 02:32, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Заменяем 127.0.0.1 на 192.168.1.1 и повторяем.
Отсюда мораль: не оставлять дефолтный айпи у роутера. Для пущих лулзов использовать ipv6, пусть попробуют адрес подобрать.
| | |
|
|
| 1.3, Аноним (-), 10:06, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Я что-то не правильнт прочитал илиэ о очередная уязвимость браузеров?
| | |
| |
| 2.10, nazarpc (?), 10:18, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
В веб обычная практика когда один домен имеет несколько IP адресов, так что скорее всего нет
| | |
| 2.16, angra (ok), 10:56, 16/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Это использование давно известной принципиальной уязвимости браузеров применительно к конкретному демону.
| | |
| |
| 3.55, Аноним (-), 00:15, 17/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
А почему её до сих пор не закрыли? Ведь 127.0.0.1 - это локальный адрес.
Кстати, NoSript (старый) со включённым ABE от такого защищает.
| | |
| |
| 4.59, angra (ok), 02:02, 17/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Ведь 127.0.0.1 - это локальный адрес.
Которым активно пользуются при разработке. То есть он вполне валиден.
| | |
| 4.74, КО (?), 10:06, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
>Ведь 127.0.0.1 - это локальный адрес.
И что, теперь к локальной машине нельзя обращаться по имени?
Это не уязвимость браузера - это особенность разбора имени - ему может быть сопоставлен любой адрес, причем динамически. В силу этого проверка по имени домена это ни о чем.
P.S. проблему как-то могло бы решить обнаружение запросов к другому серверу по сертификату (в случае SSL), вместо cross-domain.
| | |
|
|
|
| |
| |
| |
| 4.30, НяшМяш (ok), 13:11, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Просвяти нас, о мудрейший, как сделать динамический вебгуй без яваскрипта?
| | |
| |
| |
| 6.57, Аноним (-), 00:21, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> С помощью CSS.
И как CSSом подтянуть обновленные статусы торрентов?
| | |
| 6.76, КО (?), 10:10, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
Который точно также позволяет отправить запрос на 127.0.0.1 в каком-нибудь блоке after. :)
Безпарольный доступ в сеть (даже внутри localhost) - данные, которыми ты поделился со всем миром.
| | |
|
|
|
|
|
| 1.6, Аноним (-), 10:09, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> но разработчики никак не отреагировали на проблему
Что за дурацкая привычка появилась у айтишников? Не в первый раз уже в этом году.
| | |
| |
| 2.11, Аноним (-), 10:23, 16/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Вообще-то это неправда и разработчики таки отреагировали. То, что руки в конечном итоге дошли до одобрения и применения позже желаемого некоторыми отдельными личностями --- это другой вопрос.
| | |
| 2.31, Аноним (-), 13:12, 16/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> In 20 years of mitigating security issues, we've encountered plenty of resistance. Some upstream projects don't seem to care that their software follows unsafe practices or sacrifice security in favor of obsolete methods. It takes sustained pressure to tear down the walls.
https://ftp.openbsd.org/pub/OpenBSD/songs/song60a.ogg
| | |
| 2.92, rewwa (ok), 23:37, 29/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
 >> но разработчики никак не отреагировали на проблему
> Что за дурацкая привычка появилась у айтишников? Не в первый раз уже
> в этом году.
Видимо, так всем удобнее
| | |
| 2.93, scorry (ok), 13:06, 30/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> но разработчики никак не отреагировали на проблему
> Что за дурацкая привычка появилась у айтишников? Не в первый раз уже
> в этом году.
Да всем побоку просто.
| | |
|
| 1.12, Аноним (-), 10:31, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>затрагивает только конфигурации, в которых запускается отдельный демон
>и он настроен на подключение без пароля
С этого надо было начинать.
| | |
| |
| |
| 3.63, Аноним (-), 02:33, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Это например дефолтная настройка в NAS от Asustor.
А ssh без пароля у них нет? Или только инженерные логины? :)
| | |
|
|
| 1.22, adolfus (ok), 11:36, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Т.е. нужно
1) состряпать подлую страницу
2) хакнуть DNS
3) хакнуть хост с бакендом transmission, например NAS или мультимедийный центр
4) установить там браузер
5) зайти на подлую страницу
А не проще ли просто ограничиться п.3?
| | |
| |
| 2.23, Рыба ест людей (?), 11:43, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Т.е. нужно
> 1) состряпать подлую страницу
> 2) хакнуть DNS
DNS хакать не нужно. Достаточно купить доменное имя и "правильно" настроить свой DNS сервер.
> 3) хакнуть хост с бакендом transmission, например NAS или мультимедийный центр
> 4) установить там браузер
Предполагается, что хозяин браузера настолько странный, что запускает transmission на рабочей станции, там же где и работает в браузере.
> 5) зайти на подлую страницу
> А не проще ли просто ограничиться п.3? | | |
| |
| 3.34, paulus (ok), 13:55, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
 >Предполагается, что хозяин браузера настолько странный, что запускает transmission на рабочей станции, там же где и работает в браузере.
И что тут странного? Предлагаете два десктопа заводить? ;)
| | |
| |
| 4.37, Рыба ест людей (?), 14:58, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>>Предполагается, что хозяин браузера настолько странный, что запускает transmission на рабочей станции, там же где и работает в браузере.
> И что тут странного? Предлагаете два десктопа заводить? ;)
Transmission умеет работать в режиме десктопного приложения. И тогда порты не оттопыривает. А умеет в режиме демона- тогда он оттопыривает порт для подключения всяких управлялок. Вопрос- нафига настраивать демона на десктопе?
| | |
| |
| 5.38, scorry (ok), 15:26, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Transmission умеет работать в режиме десктопного приложения. И тогда порты не оттопыривает.
> А умеет в режиме демона- тогда он оттопыривает порт для подключения
> всяких управлялок. Вопрос- нафига настраивать демона на десктопе?
Каким образом режим демона связан с доступностью порта управления?
| | |
| |
| 6.65, Аноним (-), 02:44, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Каким образом режим демона связан с доступностью порта управления?
Демон без управления штука непрактичная. Все-таки торенты надо как-то добавить на закачку, а потом неплохо бы узнать что они скачались. В этом месте демону требуется какой-то интерфейс управления. Десктопной же программе вывешивать ремотное управление не акиуально, у нее локальный гуй есть.
| | |
| |
| 7.77, scorry (ok), 12:01, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> Каким образом режим демона связан с доступностью порта управления?
> Демон без управления штука непрактичная.
Управление бывает разным.
> Все-таки торенты надо как-то добавить на закачку
watch-dir
> а потом неплохо бы узнать что они скачались.
incomplete-dir
| | |
| |
| 8.82, Аноним (-), 01:31, 18/01/2018 [^] [^^] [^^^] [ответить] | +/– | Ну да И как на мой вкус, прицепиться к РЕМОТНОМУ демону торентокачалки на роуте... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 1.29, Онаним (?), 13:11, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Качать маковерсию с офсайта уже безопасно? А то они несколько раз протрояненную выкладывали на сколько я помню...
| | |
| |
| 2.32, НяшМяш (ok), 13:13, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
После первого случая перешёл на qBittorrent. Хоть под макакосью и страшный (особенно версия 4), но мне им торренты качать, а не рассматривать.
| | |
|
| 1.33, Андрей (??), 13:38, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> Информация об уязвимости и патч для её устранения были переданы разработчикам Transmission ещё 30 ноября, но разработчики никак не отреагировали на проблему,
Эх, какие разработчики? Transmission переехал на github как раз после того, как разработчики бросили проект. Хорошо что человек, которые предложил кучу патчей подобрал трансмиссию и приютил на гитхабе. Интересно, у него есть вообще доступ к тому закрытому списку рассылки, куда было послано сообщение?
> поэтому исследователь решил раскрыть подробности об атаке не дожидаясь истечения 90 дней, чтобы дистрибутивы могли устранить уязвимость независимо от основного проекта.
Класс! А зачем тогда вообще этот срок?
> По мнению разработчиков Transmission уязвимость не представляет практическую опасность, так как...
А где эти разработчики это сказали?
| | |
| |
| 2.54, Kuromi (ok), 00:02, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Да уж, к сожалению разработка у Трансмиссии совсем встала. В последнее время я лично переполз на Tixati, закрытый правда, и интерфейс специфический, нужно привыкнуть, но вцелом пошустрее и, главное, поинформативнее. Скажем трансмиссия очень плохо обрабатывает magnet ссылки, Тиксати и быстрее их ловит и хотя бы показывает почему они не запускаются (есть такие клиенты, которые не поддерживают передачу метаданных, в результате пиры вроде есть, а закачка не стартует).
| | |
| |
| 3.67, Аноним (-), 02:55, 17/01/2018 [^] [^^] [^^^] [ответить] | +/– | code commit eb5d1a79cbe1b9bc5b22fdcc598694ecd4d02f43 Merge c8696df cf7173d Au... большой текст свёрнут, показать | | |
| |
| 4.90, Kuromi (ok), 00:28, 20/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Ну как зачем? В Тиксати смотришь - ага, имеются пиры, которые, гады, не передают (не умеют) метаданные. Таким образом хрен его знает запустится ли эта закачка в принципе когда либо, возможно стоит поискать альтернативы.
В Трансмиссии ты видишь что есть пиры и...все.
| | |
| |
| 5.91, Аноним (-), 05:09, 21/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
В тиксати смотришь - неведомый блоб, который хрен запустишь на роутере. Обламываешься и уходишь.
| | |
|
|
|
| 2.66, Аноним (-), 02:47, 17/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Эх, какие разработчики? Transmission переехал на github как раз после того, как
> разработчики бросили проект.
Шутить изволишь? На гитхабе все те же лица что и в траке раньше. А то что на гитхабе появилась куча патчей - да, с git'ом да на гитхабе стало куда удобнее pull request присылать чем в svn-е то да с кривущим trak-ом.
| | |
| |
| 3.72, Андрей (??), 04:06, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Не вижу активного участия Jordan Lee и Mitchell Livingston! Только в конце 2014-го к ним присоединился Mike Gelfand. Он и перенял на себя проект.
| | |
| |
| 4.81, Аноним (-), 01:22, 18/01/2018 [^] [^^] [^^^] [ответить] | +1 +/– | Ну это да Впрочем Jordan делал core, к нему вроде крупных проблем и претензий н... большой текст свёрнут, показать | | |
|
|
|
| 1.39, X4asd (ok), 15:32, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 > в которых запускается отдельный демон (например, в случае применения web-фронтэнда) и он настроен на подключение без пароля.
ну если без пароля -- тогда о чём вообще разговор?
тожемне уязвимость
| | |
| 1.50, Аноним (-), 18:11, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Для обхода данного ограничения предлагается интересный трюк.
А при чём тут transmission?
| | |
| |
| 2.52, Аноним (-), 21:53, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> Для обхода данного ограничения предлагается интересный трюк.
> А при чём тут transmission?
Так ставьте Whonix, и в тоннель ныряйте (пока от туда свет не показался ;)!
| | |
|
| |
| 2.68, Аноним (-), 03:02, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> gRPC у них мозгов запилить не хватило, зато можно юзать дырявые RPC..
У них RPC ориентирован на работу с вебмордами, по сути AJAX обычный, порт управления - простенький HTTP, по нему летает JSON во все поля, да и вебморду если надо через него же отгрузит. До кучи к нему умеют цепляться GTKшная софтина управления или Qt'шный вариант трансмишна. Также есть некая штука на дотнете под винду, говорящая по тому же протоколу.
| | |
|
|
