Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..., opennews (??), 16-Янв-18, (0) [смотреть все] А есть Torrent-клиенты без поддержки JavaScript типа как Links2 среди веб-брау, Аноним (-), 09:57 , 16-Янв-18, (1) –3 // rtorrent Без финтефлюшек Стоковый чисто из cli, Аноним (-), 10:09 , 16-Янв-18, (5) +3 // Хороший клиент Только демонизироваться не умеет, к сожалению, поэтому приходитс, scorry (ok), 11:55 , 16-Янв-18, (24) // запускаю его в screen-e, Ващенаглухо (ok), 15:55 , 16-Янв-18, (40) У меня аналогичная история, дружище Так он у меня и работает, с мордой на руТор, scorry (ok), 16:09 , 16-Янв-18, (42) git версия умеет branch feature-bind , . (?), 16:09 , 16-Янв-18, (41) О Интересно Спасибо, посмотрю Форк или фича от автора , scorry (ok), 16:10 , 16-Янв-18, (43) Я его патчил чтобы он демоном был, при этой гуй консольный выпиливал Автор патч , Ivan_83 (ok), 16:29 , 16-Янв-18, (44) Пожалуйста, выложите А чем управляли без гуя 8212 через веб , scorry (ok), 17:44 , 16-Янв-18, (45) http www netlab linkpc net wiki ru software rtorrent daemonСкрипт rc d под фрю, Ivan_83 (ok), 17:53 , 16-Янв-18, (46) +1 Благодарю , scorry (ok), 18:23 , 16-Янв-18, (51) и вебфэйс еще ужаснее, и RPC протокол вместе с ним те же яйца, вид в профиль, Аноним (-), 03:13 , 17-Янв-18, (70) +1 Ну не знаю Раз настроил, плагинов понацеплял, и работает себе Веб-фейс, кста, scorry (ok), 12:05 , 17-Янв-18, (78) Для трансмишна тоже морд хватает И в отличие от всего этого креатива это просто, Аноним (-), 00:36 , 18-Янв-18, (80) +1 Ну, роутеры, положим, очень разными бывают, как и одноплатники Не знаю, я не пис, scorry (ok), 11:23 , 18-Янв-18, (83) Трансмишн прекрасно живет на хомякороутере с 64 мегами RAM или более Можно даже, Аноним (-), 00:27 , 19-Янв-18, (87) Торрентокачалка без 181 TP - это примерно как комп без USB , Онаним (?), 21:30 , 18-Янв-18, (85) // А при чем тут uTP Как он к JS относится Transmission кстати uTP умеет давным д, Аноним (-), 00:28 , 19-Янв-18, (88) У него тоже не всё везде хорошо https www opennet ru opennews art shtml num 48, ABATAPA (ok), 13:47 , 02-Мрт-18, (95) rtorrent, Аноним (-), 10:10 , 16-Янв-18, (7) Этот JS - для страницы, которая будет XHR слать , Crazy Alex (ok), 10:43 , 16-Янв-18, (13) +3 Так javascript выполняется не в torrent клиенте, а в браузере пользователя, на х, Рыба ест людей (?), 11:31 , 16-Янв-18, (21) +2 aria2 , минонА (?), 12:47 , 16-Янв-18, (27) // Парадокс rtorrent и aria2 в том что их тоже тухловато без вебгуя использовать И, Аноним (-), 00:16 , 17-Янв-18, (56) Можно у сабжа не включать RPC или включить но с паролем Он собственно и отключе, Аноним (-), 03:12 , 17-Янв-18, (69) lftp лень листать комменты, может уже и успели посоветовать, хз , тигар (ok), 22:09 , 17-Янв-18, (79) +1 // Раз у Вас в телнете даже поиск не работает -- давайте хоть я сообщу нет, не усп, Michael Shigorin (ok), 22:50 , 18-Янв-18, (86) Еще один плюс в использовании LEDE Браузер на ноуте, transmission на роутере , Онанимус (?), 10:02 , 16-Янв-18, (2) // А уязвимость та же, хоть и чуть больше времени уйдет на перебор ip роутера Или , angra (ok), 10:52 , 16-Янв-18, (14) +1 // Принципиальная разница в использовании пароля , Аноним (-), 11:09 , 16-Янв-18, (18) +1 // При использовании пароля и localhost вариант неуязвим , angra (ok), 01:59 , 17-Янв-18, (58) +1 Интерфейс ремотного управления без пароля - вообще не очень хорошая идея, мягко , Аноним (-), 03:17 , 17-Янв-18, (71) +1 Я думаю, что есть принципиальная разница между автоматическим харвейстером и руч, Онанимус (?), 13:06 , 16-Янв-18, (28) // А причем здесь ручной взлом Будет на страничке не один iframe и A запись, а нес, angra (ok), 02:09 , 17-Янв-18, (61) Вот и я о том же Ни кто не будет писать зловреда, перебирающего не то что IPv6,, Онанимус (?), 10:07 , 17-Янв-18, (75) +1 Ну, скорее всего, в этом случае DNS браузеру будет отдавать сам роутер и застави, КО (?), 14:36 , 16-Янв-18, (35) // Ты вообще в курсе, как работают NS в кеширующем режиме Для того, чтобы они игно, angra (ok), 02:06 , 17-Янв-18, (60) Заменяем 127 0 0 1 на 192 168 1 1 и повторяем , noname.htm (ok), 12:10 , 16-Янв-18, (26) // Отсюда мораль не оставлять дефолтный айпи у роутера Для пущих лулзов использов, Аноним (-), 02:32 , 17-Янв-18, (62) Я что-то не правильнт прочитал илиэ о очередная уязвимость браузеров , Аноним (-), 10:06 , 16-Янв-18, (3) +6 // В веб обычная практика когда один домен имеет несколько IP адресов, так что скор, nazarpc (?), 10:18 , 16-Янв-18, (10) Это использование давно известной принципиальной уязвимости браузеров применител, angra (ok), 10:56 , 16-Янв-18, (16) +3 // А почему её до сих пор не закрыли Ведь 127 0 0 1 - это локальный адрес Кстати, , Аноним (-), 00:15 , 17-Янв-18, (55) +1 // Которым активно пользуются при разработке То есть он вполне валиден , angra (ok), 02:02 , 17-Янв-18, (59) +2 И что, теперь к локальной машине нельзя обращаться по имени Это не уязвимость бр, КО (?), 10:06 , 17-Янв-18, (74) Есть Torrential https www opennet ru opennews art shtml num 47429, Аноним (-), 10:06 , 16-Янв-18, (4) –1 // Или если надо много настроек, то qBittorrent https www opennet ru opennews art, Аноним (-), 10:14 , 16-Янв-18, (9) +3 // qBittorent вообще-то из коробки полон JavaScript ов - https github com qbit, Аноним (-), 10:55 , 16-Янв-18, (15) // Просвяти нас, о мудрейший, как сделать динамический вебгуй без яваскрипта , НяшМяш (ok), 13:11 , 16-Янв-18, (30) С помощью CSS , Аноним (-), 18:06 , 16-Янв-18, (47) И как CSSом подтянуть обновленные статусы торрентов , Аноним (-), 00:21 , 17-Янв-18, (57) Который точно также позволяет отправить запрос на 127 0 0 1 в каком-нибудь блоке, КО (?), 10:10 , 17-Янв-18, (76) Что за дурацкая привычка появилась у айтишников Не в первый раз уже в этом году, Аноним (-), 10:09 , 16-Янв-18, (6) +1 // Ага Появилась , анонимоус (?), 10:11 , 16-Янв-18, (8) +1 Вообще-то это неправда и разработчики таки отреагировали То, что руки в конечно, Аноним (-), 10:23 , 16-Янв-18, (11) +2 https ftp openbsd org pub OpenBSD songs song60a ogg, Аноним (-), 13:12 , 16-Янв-18, (31) +2 Видимо, так всем удобнее, rewwa (ok), 23:37 , 29-Янв-18, (92) Да всем побоку просто , scorry (ok), 13:06 , 30-Янв-18, (93) С этого надо было начинать , Аноним (-), 10:31 , 16-Янв-18, (12) // Это например дефолтная настройка в NAS от Asustor , Аноним (-), 18:08 , 16-Янв-18, (48) // А ssh без пароля у них нет Или только инженерные логины , Аноним (-), 02:33 , 17-Янв-18, (63) И каким образом эту уязвимость исправили в Debian , Green (??), 11:04 , 16-Янв-18, (17) // apt -y purge transmission, EHLO (?), 11:31 , 16-Янв-18, (20) –1 // Хорошо что ты не врач , Аноним (-), 02:34 , 17-Янв-18, (64) +2 Полагаю, тем же, что и в Gentoo Проверяют заголовок Host , Аноним (-), 12:08 , 16-Янв-18, (25) Чет столько понаписали, а тут всего лишь CSRF DNS rebinding , Рыба ест людей (?), 11:29 , 16-Янв-18, (19) Т е нужно 1 состряпать подлую страницу2 хакнуть DNS3 хакнуть хост с бакендом, adolfus (ok), 11:36 , 16-Янв-18, (22) // DNS хакать не нужно Достаточно купить доменное имя и правильно настроить свой, Рыба ест людей (?), 11:43 , 16-Янв-18, (23) +1 // И что тут странного Предлагаете два десктопа заводить , paulus (ok), 13:55 , 16-Янв-18, (34) // Transmission умеет работать в режиме десктопного приложения И тогда порты не от, Рыба ест людей (?), 14:58 , 16-Янв-18, (37) Каким образом режим демона связан с доступностью порта управления , scorry (ok), 15:26 , 16-Янв-18, (38) Демон без управления штука непрактичная Все-таки торенты надо как-то добавить н, Аноним (-), 02:44 , 17-Янв-18, (65) Управление бывает разным watch-dirincomplete-dir, scorry (ok), 12:01 , 17-Янв-18, (77) Ну да И как на мой вкус, прицепиться к РЕМОТНОМУ демону торентокачалки на роуте, Аноним (-), 01:31 , 18-Янв-18, (82) Послушайте, вы спросили 8212 я ответил Есть способ бросать файлы Есть Вы н, scorry (ok), 11:26 , 18-Янв-18, (84) Да можно то что угодно Тут скорее уместен вопрос а нафига Нафига это делать, Аноним (-), 00:36 , 19-Янв-18, (89) Качать маковерсию с офсайта уже безопасно А то они несколько раз протрояненную , Онаним (?), 13:11 , 16-Янв-18, (29) // После первого случая перешёл на qBittorrent Хоть под макакосью и страшный особ, НяшМяш (ok), 13:13 , 16-Янв-18, (32) +1 Эх, какие разработчики Transmission переехал на github как раз после того, как , Андрей (??), 13:38 , 16-Янв-18, (33) +2   // Да уж, к сожалению разработка у Трансмиссии совсем встала В последнее время я л, Kuromi (ok), 00:02 , 17-Янв-18, (54)   // code commit eb5d1a79cbe1b9bc5b22fdcc598694ecd4d02f43Merge c8696df cf7173dAutho, Аноним (-), 02:55 , 17-Янв-18, (67)   // Ну как зачем В Тиксати смотришь - ага, имеются пиры, которые, гады, не передают, Kuromi (ok), 00:28 , 20-Янв-18, (90)   В тиксати смотришь - неведомый блоб, который хрен запустишь на роутере Обламыва, Аноним (-), 05:09 , 21-Янв-18, (91) +1   Шутить изволишь На гитхабе все те же лица что и в траке раньше А то что на гит, Аноним (-), 02:47 , 17-Янв-18, (66) +1   // Не вижу активного участия Jordan Lee и Mitchell Livingston Только в конце 2014-, Андрей (??), 04:06 , 17-Янв-18, (72)   // Ну это да Впрочем Jordan делал core, к нему вроде крупных проблем и претензий н, Аноним (-), 01:22 , 18-Янв-18, (81) +1   ну если без пароля -- тогда о чём вообще разговор тожемне уязвимость, X4asd (ok), 15:32 , 16-Янв-18, (39) –1 А при чём тут transmission , Аноним (-), 18:11 , 16-Янв-18, (50) // Так ставьте Whonix, и в тоннель ныряйте пока от туда свет не показался , Аноним (-), 21:53 , 16-Янв-18, (52) gRPC у них мозгов запилить не хватило, зато можно юзать дырявые RPC , Мрак Цукерович (?), 22:15 , 16-Янв-18, (53) // У них RPC ориентирован на работу с вебмордами, по сути AJAX обычный, порт управл, Аноним (-), 03:02 , 17-Янв-18, (68) на Убунту патч пришёл сегодня , Аноним (-), 05:19 , 17-Янв-18, (73) 1,2,3,4,6,12,17,19,22,29,33,39,50,53,73

Сообщения

[Сортировка по времени | RSS]

33. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+2 +/–
Сообщение от Андрей (??), 16-Янв-18, 13:38
> Информация об уязвимости и патч для её устранения были переданы разработчикам Transmission ещё 30 ноября, но разработчики никак не отреагировали на проблему, Эх, какие разработчики? Transmission переехал на github как раз после того, как разработчики бросили проект. Хорошо что человек, которые предложил кучу патчей подобрал трансмиссию и приютил на гитхабе. Интересно, у него есть вообще доступ к тому закрытому списку рассылки, куда было послано сообщение? > поэтому исследователь решил раскрыть подробности об атаке не дожидаясь истечения 90 дней, чтобы дистрибутивы могли устранить уязвимость независимо от основного проекта. Класс! А зачем тогда вообще этот срок? > По мнению разработчиков Transmission уязвимость не представляет практическую опасность, так как... А где эти разработчики это сказали?
Ответить | Правка | Наверх | Cообщить модератору

	54. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+/–
	Сообщение от Kuromi (ok), 17-Янв-18, 00:02
	Да уж, к сожалению разработка у Трансмиссии совсем встала. В последнее время я лично переполз на Tixati, закрытый правда, и интерфейс специфический, нужно привыкнуть, но вцелом пошустрее и, главное, поинформативнее. Скажем трансмиссия очень плохо обрабатывает magnet ссылки, Тиксати и быстрее их ловит и хотя бы показывает почему они не запускаются (есть такие клиенты, которые не поддерживают передачу метаданных, в результате пиры вроде есть, а закачка не стартует).
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+/–
	Сообщение от Аноним (-), 17-Янв-18, 02:55
	> Да уж, к сожалению разработка у Трансмиссии совсем встала. commit eb5d1a79cbe1b9bc5b22fdcc598694ecd4d02f43 Merge: c8696df cf7173d Author: Mike Gelfand <mikedld@users.noreply.github.com> Date:   Mon Jan 15 23:46:32 2018 +0300     Merge pull request #468 from taviso/master          CVE-2018-5702: Mitigate dns rebinding attacks against daemon commit cf7173df930cfa7ac1b1b0e9027c1deffd0b3c84 Author: Tavis Ormandy <taviso@google.com> Date:   Thu Jan 11 10:00:41 2018 -0800     mitigate dns rebinding attacks against daemon Однако сабж починили только в путь. > бы показывает почему они не запускаются (есть такие клиенты, которые не > поддерживают передачу метаданных, в результате пиры вроде есть, а закачка не стартует). В трансмишне можно включить вербозный лог если тебе интересно в чужих глюках копаться. А так статус закачки показывается и когда метаданные получены, свойства здорово меняются. У трансмишна раньше были свои глюки еще с передачей метаданных, но это давно починено. А чужие глюки - тут уж никто не виноват, вопрос к кривым ремотным клиентам. Если пипец как интересно, debug лог пишет что именно он с метаданными делает, сошелся ли хэш, когда трансфер "demagnetized" стал и проч. Только нафиг этим голову забивать? Трансмишн хорош тем что работает "где-то там", на роутере или мелком ARMовском одноплатнике, и его не видно.
	Ответить | Правка | Наверх | Cообщить модератору

	90. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+/–
	Сообщение от Kuromi (ok), 20-Янв-18, 00:28
	Ну как зачем? В Тиксати смотришь - ага, имеются пиры, которые, гады, не передают (не умеют) метаданные. Таким образом хрен его знает запустится ли эта закачка в принципе когда либо, возможно стоит поискать альтернативы. В Трансмиссии ты видишь что есть пиры и...все.
	Ответить | Правка | Наверх | Cообщить модератору

	91. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+1 +/–
	Сообщение от Аноним (-), 21-Янв-18, 05:09
	В тиксати смотришь - неведомый блоб, который хрен запустишь на роутере. Обламываешься и уходишь.
	Ответить | Правка | Наверх | Cообщить модератору

	66. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+1 +/–
	Сообщение от Аноним (-), 17-Янв-18, 02:47
	> Эх, какие разработчики? Transmission переехал на github как раз после того, как > разработчики бросили проект. Шутить изволишь? На гитхабе все те же лица что и в траке раньше. А то что на гитхабе появилась куча патчей - да, с git'ом да на гитхабе стало куда удобнее pull request присылать чем в svn-е то да с кривущим trak-ом.
	Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

	72. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+/–
	Сообщение от Андрей (??), 17-Янв-18, 04:06
	Не вижу активного участия Jordan Lee и Mitchell Livingston! Только в конце 2014-го к ним присоединился Mike Gelfand. Он и перенял на себя проект.
	Ответить | Правка | Наверх | Cообщить модератору

	81. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+1 +/–
	Сообщение от Аноним (-), 18-Янв-18, 01:22
	> Не вижу активного участия Jordan Lee и Mitchell Livingston! Только в конце > 2014-го к ним присоединился Mike Gelfand. Он и перенял на себя проект. Ну это да. Впрочем Jordan делал core, к нему вроде крупных проблем и претензий не осталось и все просто работает. Улучшать конечно можно до бесконечности, но в конечном итоге, это работает. Livingston - подозреваю что именно его как ярого макосника и хакали несколько раз, подсовывая троянскую версию в макосный бинарь. JCH написавший libdht под трансмишн - его либа никуда и не делась, периодически новые версии тягают в third-party/dht. То что перца нет в явном виде - да, он где-то за сценой. Libutp из utorrent тоже подтягивают периодически. Иногда вот некто присылает pull request-ы, на гитхабе это проще чем в траке с svn. Вообще распределенная разработка штука забавная. Там довольно сложно провести четкие грани.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема