Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..., opennews (??), 16-Янв-18, (0) [смотреть все] А есть Torrent-клиенты без поддержки JavaScript типа как Links2 среди веб-брау, Аноним (-), 09:57 , 16-Янв-18, (1) –3 // rtorrent Без финтефлюшек Стоковый чисто из cli, Аноним (-), 10:09 , 16-Янв-18, (5) +3 // Хороший клиент Только демонизироваться не умеет, к сожалению, поэтому приходитс, scorry (ok), 11:55 , 16-Янв-18, (24) // запускаю его в screen-e, Ващенаглухо (ok), 15:55 , 16-Янв-18, (40) У меня аналогичная история, дружище Так он у меня и работает, с мордой на руТор, scorry (ok), 16:09 , 16-Янв-18, (42) git версия умеет branch feature-bind , . (?), 16:09 , 16-Янв-18, (41) О Интересно Спасибо, посмотрю Форк или фича от автора , scorry (ok), 16:10 , 16-Янв-18, (43) Я его патчил чтобы он демоном был, при этой гуй консольный выпиливал Автор патч , Ivan_83 (ok), 16:29 , 16-Янв-18, (44) Пожалуйста, выложите А чем управляли без гуя 8212 через веб , scorry (ok), 17:44 , 16-Янв-18, (45) http www netlab linkpc net wiki ru software rtorrent daemonСкрипт rc d под фрю, Ivan_83 (ok), 17:53 , 16-Янв-18, (46) +1 Благодарю , scorry (ok), 18:23 , 16-Янв-18, (51) и вебфэйс еще ужаснее, и RPC протокол вместе с ним те же яйца, вид в профиль, Аноним (-), 03:13 , 17-Янв-18, (70) +1 Ну не знаю Раз настроил, плагинов понацеплял, и работает себе Веб-фейс, кста, scorry (ok), 12:05 , 17-Янв-18, (78) Для трансмишна тоже морд хватает И в отличие от всего этого креатива это просто, Аноним (-), 00:36 , 18-Янв-18, (80) +1 Ну, роутеры, положим, очень разными бывают, как и одноплатники Не знаю, я не пис, scorry (ok), 11:23 , 18-Янв-18, (83) Трансмишн прекрасно живет на хомякороутере с 64 мегами RAM или более Можно даже, Аноним (-), 00:27 , 19-Янв-18, (87) Торрентокачалка без 181 TP - это примерно как комп без USB , Онаним (?), 21:30 , 18-Янв-18, (85) // А при чем тут uTP Как он к JS относится Transmission кстати uTP умеет давным д, Аноним (-), 00:28 , 19-Янв-18, (88) У него тоже не всё везде хорошо https www opennet ru opennews art shtml num 48, ABATAPA (ok), 13:47 , 02-Мрт-18, (95) rtorrent, Аноним (-), 10:10 , 16-Янв-18, (7) Этот JS - для страницы, которая будет XHR слать , Crazy Alex (ok), 10:43 , 16-Янв-18, (13) +3 Так javascript выполняется не в torrent клиенте, а в браузере пользователя, на х, Рыба ест людей (?), 11:31 , 16-Янв-18, (21) +2 aria2 , минонА (?), 12:47 , 16-Янв-18, (27) // Парадокс rtorrent и aria2 в том что их тоже тухловато без вебгуя использовать И, Аноним (-), 00:16 , 17-Янв-18, (56) Можно у сабжа не включать RPC или включить но с паролем Он собственно и отключе, Аноним (-), 03:12 , 17-Янв-18, (69) lftp лень листать комменты, может уже и успели посоветовать, хз , тигар (ok), 22:09 , 17-Янв-18, (79) +1 // Раз у Вас в телнете даже поиск не работает -- давайте хоть я сообщу нет, не усп, Michael Shigorin (ok), 22:50 , 18-Янв-18, (86) Еще один плюс в использовании LEDE Браузер на ноуте, transmission на роутере , Онанимус (?), 10:02 , 16-Янв-18, (2) // А уязвимость та же, хоть и чуть больше времени уйдет на перебор ip роутера Или , angra (ok), 10:52 , 16-Янв-18, (14) +1 // Принципиальная разница в использовании пароля , Аноним (-), 11:09 , 16-Янв-18, (18) +1 // При использовании пароля и localhost вариант неуязвим , angra (ok), 01:59 , 17-Янв-18, (58) +1 Интерфейс ремотного управления без пароля - вообще не очень хорошая идея, мягко , Аноним (-), 03:17 , 17-Янв-18, (71) +1 Я думаю, что есть принципиальная разница между автоматическим харвейстером и руч, Онанимус (?), 13:06 , 16-Янв-18, (28) // А причем здесь ручной взлом Будет на страничке не один iframe и A запись, а нес, angra (ok), 02:09 , 17-Янв-18, (61) Вот и я о том же Ни кто не будет писать зловреда, перебирающего не то что IPv6,, Онанимус (?), 10:07 , 17-Янв-18, (75) +1 Ну, скорее всего, в этом случае DNS браузеру будет отдавать сам роутер и застави, КО (?), 14:36 , 16-Янв-18, (35) // Ты вообще в курсе, как работают NS в кеширующем режиме Для того, чтобы они игно, angra (ok), 02:06 , 17-Янв-18, (60) Заменяем 127 0 0 1 на 192 168 1 1 и повторяем , noname.htm (ok), 12:10 , 16-Янв-18, (26) // Отсюда мораль не оставлять дефолтный айпи у роутера Для пущих лулзов использов, Аноним (-), 02:32 , 17-Янв-18, (62) Я что-то не правильнт прочитал илиэ о очередная уязвимость браузеров , Аноним (-), 10:06 , 16-Янв-18, (3) +6 // В веб обычная практика когда один домен имеет несколько IP адресов, так что скор, nazarpc (?), 10:18 , 16-Янв-18, (10) Это использование давно известной принципиальной уязвимости браузеров применител, angra (ok), 10:56 , 16-Янв-18, (16) +3 // А почему её до сих пор не закрыли Ведь 127 0 0 1 - это локальный адрес Кстати, , Аноним (-), 00:15 , 17-Янв-18, (55) +1 // Которым активно пользуются при разработке То есть он вполне валиден , angra (ok), 02:02 , 17-Янв-18, (59) +2 И что, теперь к локальной машине нельзя обращаться по имени Это не уязвимость бр, КО (?), 10:06 , 17-Янв-18, (74) Есть Torrential https www opennet ru opennews art shtml num 47429, Аноним (-), 10:06 , 16-Янв-18, (4) –1 // Или если надо много настроек, то qBittorrent https www opennet ru opennews art, Аноним (-), 10:14 , 16-Янв-18, (9) +3 // qBittorent вообще-то из коробки полон JavaScript ов - https github com qbit, Аноним (-), 10:55 , 16-Янв-18, (15) // Просвяти нас, о мудрейший, как сделать динамический вебгуй без яваскрипта , НяшМяш (ok), 13:11 , 16-Янв-18, (30) С помощью CSS , Аноним (-), 18:06 , 16-Янв-18, (47) И как CSSом подтянуть обновленные статусы торрентов , Аноним (-), 00:21 , 17-Янв-18, (57) Который точно также позволяет отправить запрос на 127 0 0 1 в каком-нибудь блоке, КО (?), 10:10 , 17-Янв-18, (76) Что за дурацкая привычка появилась у айтишников Не в первый раз уже в этом году, Аноним (-), 10:09 , 16-Янв-18, (6) +1 // Ага Появилась , анонимоус (?), 10:11 , 16-Янв-18, (8) +1 Вообще-то это неправда и разработчики таки отреагировали То, что руки в конечно, Аноним (-), 10:23 , 16-Янв-18, (11) +2 https ftp openbsd org pub OpenBSD songs song60a ogg, Аноним (-), 13:12 , 16-Янв-18, (31) +2 Видимо, так всем удобнее, rewwa (ok), 23:37 , 29-Янв-18, (92) Да всем побоку просто , scorry (ok), 13:06 , 30-Янв-18, (93) С этого надо было начинать , Аноним (-), 10:31 , 16-Янв-18, (12) // Это например дефолтная настройка в NAS от Asustor , Аноним (-), 18:08 , 16-Янв-18, (48) // А ssh без пароля у них нет Или только инженерные логины , Аноним (-), 02:33 , 17-Янв-18, (63) И каким образом эту уязвимость исправили в Debian , Green (??), 11:04 , 16-Янв-18, (17) // apt -y purge transmission, EHLO (?), 11:31 , 16-Янв-18, (20) –1 // Хорошо что ты не врач , Аноним (-), 02:34 , 17-Янв-18, (64) +2 Полагаю, тем же, что и в Gentoo Проверяют заголовок Host , Аноним (-), 12:08 , 16-Янв-18, (25) Чет столько понаписали, а тут всего лишь CSRF DNS rebinding , Рыба ест людей (?), 11:29 , 16-Янв-18, (19) Т е нужно 1 состряпать подлую страницу2 хакнуть DNS3 хакнуть хост с бакендом, adolfus (ok), 11:36 , 16-Янв-18, (22)   // DNS хакать не нужно Достаточно купить доменное имя и правильно настроить свой, Рыба ест людей (?), 11:43 , 16-Янв-18, (23) +1   // И что тут странного Предлагаете два десктопа заводить , paulus (ok), 13:55 , 16-Янв-18, (34)   // Transmission умеет работать в режиме десктопного приложения И тогда порты не от, Рыба ест людей (?), 14:58 , 16-Янв-18, (37)   Каким образом режим демона связан с доступностью порта управления , scorry (ok), 15:26 , 16-Янв-18, (38)   Демон без управления штука непрактичная Все-таки торенты надо как-то добавить н, Аноним (-), 02:44 , 17-Янв-18, (65)   Управление бывает разным watch-dirincomplete-dir, scorry (ok), 12:01 , 17-Янв-18, (77)   Ну да И как на мой вкус, прицепиться к РЕМОТНОМУ демону торентокачалки на роуте, Аноним (-), 01:31 , 18-Янв-18, (82)   Послушайте, вы спросили 8212 я ответил Есть способ бросать файлы Есть Вы н, scorry (ok), 11:26 , 18-Янв-18, (84)   Да можно то что угодно Тут скорее уместен вопрос а нафига Нафига это делать, Аноним (-), 00:36 , 19-Янв-18, (89)   Качать маковерсию с офсайта уже безопасно А то они несколько раз протрояненную , Онаним (?), 13:11 , 16-Янв-18, (29) // После первого случая перешёл на qBittorrent Хоть под макакосью и страшный особ, НяшМяш (ok), 13:13 , 16-Янв-18, (32) +1 Эх, какие разработчики Transmission переехал на github как раз после того, как , Андрей (??), 13:38 , 16-Янв-18, (33) +2 // Да уж, к сожалению разработка у Трансмиссии совсем встала В последнее время я л, Kuromi (ok), 00:02 , 17-Янв-18, (54) // code commit eb5d1a79cbe1b9bc5b22fdcc598694ecd4d02f43Merge c8696df cf7173dAutho, Аноним (-), 02:55 , 17-Янв-18, (67) // Ну как зачем В Тиксати смотришь - ага, имеются пиры, которые, гады, не передают, Kuromi (ok), 00:28 , 20-Янв-18, (90) В тиксати смотришь - неведомый блоб, который хрен запустишь на роутере Обламыва, Аноним (-), 05:09 , 21-Янв-18, (91) +1 Шутить изволишь На гитхабе все те же лица что и в траке раньше А то что на гит, Аноним (-), 02:47 , 17-Янв-18, (66) +1 // Не вижу активного участия Jordan Lee и Mitchell Livingston Только в конце 2014-, Андрей (??), 04:06 , 17-Янв-18, (72) // Ну это да Впрочем Jordan делал core, к нему вроде крупных проблем и претензий н, Аноним (-), 01:22 , 18-Янв-18, (81) +1 ну если без пароля -- тогда о чём вообще разговор тожемне уязвимость, X4asd (ok), 15:32 , 16-Янв-18, (39) –1 А при чём тут transmission , Аноним (-), 18:11 , 16-Янв-18, (50) // Так ставьте Whonix, и в тоннель ныряйте пока от туда свет не показался , Аноним (-), 21:53 , 16-Янв-18, (52) gRPC у них мозгов запилить не хватило, зато можно юзать дырявые RPC , Мрак Цукерович (?), 22:15 , 16-Янв-18, (53) // У них RPC ориентирован на работу с вебмордами, по сути AJAX обычный, порт управл, Аноним (-), 03:02 , 17-Янв-18, (68) на Убунту патч пришёл сегодня , Аноним (-), 05:19 , 17-Янв-18, (73) 1,2,3,4,6,12,17,19,22,29,33,39,50,53,73

Сообщения

[Сортировка по времени | RSS]

22. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+/–
Сообщение от adolfus (ok), 16-Янв-18, 11:36
Т.е. нужно 1) состряпать подлую страницу 2) хакнуть DNS 3) хакнуть хост с бакендом transmission, например NAS или мультимедийный центр 4) установить там браузер 5) зайти на подлую страницу   А не проще ли просто ограничиться п.3?
Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+1 +/–
	Сообщение от Рыба ест людей (?), 16-Янв-18, 11:43
	> Т.е. нужно > 1) состряпать подлую страницу > 2) хакнуть DNS DNS хакать не нужно. Достаточно купить доменное имя и "правильно" настроить свой DNS сервер. > 3) хакнуть хост с бакендом transmission, например NAS или мультимедийный центр > 4) установить там браузер Предполагается, что хозяин браузера настолько странный, что запускает transmission на рабочей станции, там же где и работает в браузере. > 5) зайти на подлую страницу > А не проще ли просто ограничиться п.3?
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+/–
	Сообщение от paulus (ok), 16-Янв-18, 13:55
	>Предполагается, что хозяин браузера настолько странный, что запускает transmission на рабочей станции, там же где и работает в браузере. И что тут странного? Предлагаете два десктопа заводить? ;)
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+/–
	Сообщение от Рыба ест людей (?), 16-Янв-18, 14:58
	>>Предполагается, что хозяин браузера настолько странный, что запускает transmission на рабочей станции, там же где и работает в браузере. > И что тут странного? Предлагаете два десктопа заводить? ;) Transmission умеет работать в режиме десктопного приложения. И тогда порты не оттопыривает. А умеет в режиме демона- тогда он оттопыривает порт для подключения всяких управлялок. Вопрос- нафига настраивать демона на десктопе?
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+/–
	Сообщение от scorry (ok), 16-Янв-18, 15:26
	> Transmission умеет работать в режиме десктопного приложения. И тогда порты не оттопыривает. > А умеет в режиме демона- тогда он оттопыривает порт для подключения > всяких управлялок. Вопрос- нафига настраивать демона на десктопе? Каким образом режим демона связан с доступностью порта управления?
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+/–
	Сообщение от Аноним (-), 17-Янв-18, 02:44
	> Каким образом режим демона связан с доступностью порта управления? Демон без управления штука непрактичная. Все-таки торенты надо как-то добавить на закачку, а потом неплохо бы узнать что они скачались. В этом месте демону требуется какой-то интерфейс управления. Десктопной же программе вывешивать ремотное управление не акиуально, у нее локальный гуй есть.
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+/–
	Сообщение от scorry (ok), 17-Янв-18, 12:01
	>> Каким образом режим демона связан с доступностью порта управления? > Демон без управления штука непрактичная. Управление бывает разным. > Все-таки торенты надо как-то добавить на закачку watch-dir > а потом неплохо бы узнать что они скачались. incomplete-dir
	Ответить | Правка | Наверх | Cообщить модератору

	82. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+/–
	Сообщение от Аноним (-), 18-Янв-18, 01:31
	> Управление бывает разным. Ну да. И как на мой вкус, прицепиться к РЕМОТНОМУ демону торентокачалки на роутере или одноплатнике очень удобно. Что через вебморду что gtk/qt мордой по тому же протоколу. > watch-dir И как мне этим вачдиром воспользоваться, если демон въе где-то там, на роутере или одноплатнике с хардом под торенты? Пробрасывать его оттуда? > incomplete-dir Что - incomplete dir? Если я локально нечто запущу, то могу на GTK или Qt прогу посмотреть, как на интерфейс. Демона же обычно запускают на неинтерактивной машине без гуя и incomplete-dir где-нить на одноплатнике, роутере или серваке очень мне приболел пользоваться им где-то там. Собссно у сабжа vuln случался только в идиотской ситуации когда управление разрешено, пароль не поставлен, а ремотная вебпага синхронно с днс решили на пару приколоться над растяпой. Это, конечно, тоже безобразие. Но масштаб проблемы весьма маргинальный и затрагивает только каких-то очень странных людей, зачем-то пускающих клиент без авторизации. И таки да, если морда без авторизации, стоит быть готовым что кто угодно подкрутит немного настройки в этой морде. Странно, правда?
	Ответить | Правка | Наверх | Cообщить модератору

	84. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+/–
	Сообщение от scorry (ok), 18-Янв-18, 11:26
	>> watch-dir > И как мне этим вачдиром воспользоваться, если демон въе где-то там, на > роутере или одноплатнике с хардом под торенты? Пробрасывать его оттуда? Послушайте, вы спросили — я ответил. Есть способ бросать файлы? Есть. Вы не можете его использовать по какой-то причине — ради бога, не используйте. > Что - incomplete dir? Если я локально нечто запущу, то могу на > GTK или Qt прогу посмотреть, как на интерфейс. Демона же обычно > запускают на неинтерактивной машине без гуя и incomplete-dir где-нить на одноплатнике, > роутере или серваке очень мне приболел пользоваться им где-то там. О господи. Снова пришёл кто-то, кто знает, КАК ИМЕННО все это запускают, и никак иначе, по его мнению.
	Ответить | Правка | Наверх | Cообщить модератору

	89. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+/–
	Сообщение от Аноним (-), 19-Янв-18, 00:36
	> Послушайте, вы спросили — я ответил. Есть способ бросать файлы? Есть. Вы > не можете его использовать по какой-то причине — ради бога, не используйте. Да можно то что угодно. Тут скорее уместен вопрос "а нафига?". Нафига это делать именно так? Если у меня локальная машина доступна, упомянутое взаимодействие выглядит сложным, не наглядным, требует лишних действий и не дает представления чем сейчас занимается программа. > О господи. Снова пришёл кто-то, кто знает, КАК ИМЕННО все это запускают, > и никак иначе, по его мнению. Никто не спорит что можно придумать бесконечное количество способов взаимодействия с программой. Можно например телеграфным ключом настукивать содержимое торента закодировав его в base64. Всего полчаса траха - и закачка добалена. Но зачем?
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема