Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..., opennews (??), 16-Янв-18, (0) [смотреть все] А есть Torrent-клиенты без поддержки JavaScript типа как Links2 среди веб-брау, Аноним (-), 09:57 , 16-Янв-18, (1) –3 // rtorrent Без финтефлюшек Стоковый чисто из cli, Аноним (-), 10:09 , 16-Янв-18, (5) +3 // Хороший клиент Только демонизироваться не умеет, к сожалению, поэтому приходитс, scorry (ok), 11:55 , 16-Янв-18, (24) // запускаю его в screen-e, Ващенаглухо (ok), 15:55 , 16-Янв-18, (40) У меня аналогичная история, дружище Так он у меня и работает, с мордой на руТор, scorry (ok), 16:09 , 16-Янв-18, (42) git версия умеет branch feature-bind , . (?), 16:09 , 16-Янв-18, (41) О Интересно Спасибо, посмотрю Форк или фича от автора , scorry (ok), 16:10 , 16-Янв-18, (43) Я его патчил чтобы он демоном был, при этой гуй консольный выпиливал Автор патч , Ivan_83 (ok), 16:29 , 16-Янв-18, (44) Пожалуйста, выложите А чем управляли без гуя 8212 через веб , scorry (ok), 17:44 , 16-Янв-18, (45) http www netlab linkpc net wiki ru software rtorrent daemonСкрипт rc d под фрю, Ivan_83 (ok), 17:53 , 16-Янв-18, (46) +1 Благодарю , scorry (ok), 18:23 , 16-Янв-18, (51) и вебфэйс еще ужаснее, и RPC протокол вместе с ним те же яйца, вид в профиль, Аноним (-), 03:13 , 17-Янв-18, (70) +1 Ну не знаю Раз настроил, плагинов понацеплял, и работает себе Веб-фейс, кста, scorry (ok), 12:05 , 17-Янв-18, (78) Для трансмишна тоже морд хватает И в отличие от всего этого креатива это просто, Аноним (-), 00:36 , 18-Янв-18, (80) +1 Ну, роутеры, положим, очень разными бывают, как и одноплатники Не знаю, я не пис, scorry (ok), 11:23 , 18-Янв-18, (83) Трансмишн прекрасно живет на хомякороутере с 64 мегами RAM или более Можно даже, Аноним (-), 00:27 , 19-Янв-18, (87) Торрентокачалка без 181 TP - это примерно как комп без USB , Онаним (?), 21:30 , 18-Янв-18, (85) // А при чем тут uTP Как он к JS относится Transmission кстати uTP умеет давным д, Аноним (-), 00:28 , 19-Янв-18, (88) У него тоже не всё везде хорошо https www opennet ru opennews art shtml num 48, ABATAPA (ok), 13:47 , 02-Мрт-18, (95) rtorrent, Аноним (-), 10:10 , 16-Янв-18, (7) Этот JS - для страницы, которая будет XHR слать , Crazy Alex (ok), 10:43 , 16-Янв-18, (13) +3 Так javascript выполняется не в torrent клиенте, а в браузере пользователя, на х, Рыба ест людей (?), 11:31 , 16-Янв-18, (21) +2 aria2 , минонА (?), 12:47 , 16-Янв-18, (27) // Парадокс rtorrent и aria2 в том что их тоже тухловато без вебгуя использовать И, Аноним (-), 00:16 , 17-Янв-18, (56) Можно у сабжа не включать RPC или включить но с паролем Он собственно и отключе, Аноним (-), 03:12 , 17-Янв-18, (69) lftp лень листать комменты, может уже и успели посоветовать, хз , тигар (ok), 22:09 , 17-Янв-18, (79) +1 // Раз у Вас в телнете даже поиск не работает -- давайте хоть я сообщу нет, не усп, Michael Shigorin (ok), 22:50 , 18-Янв-18, (86) Еще один плюс в использовании LEDE Браузер на ноуте, transmission на роутере , Онанимус (?), 10:02 , 16-Янв-18, (2) // А уязвимость та же, хоть и чуть больше времени уйдет на перебор ip роутера Или , angra (ok), 10:52 , 16-Янв-18, (14) +1 // Принципиальная разница в использовании пароля , Аноним (-), 11:09 , 16-Янв-18, (18) +1 // При использовании пароля и localhost вариант неуязвим , angra (ok), 01:59 , 17-Янв-18, (58) +1 Интерфейс ремотного управления без пароля - вообще не очень хорошая идея, мягко , Аноним (-), 03:17 , 17-Янв-18, (71) +1 Я думаю, что есть принципиальная разница между автоматическим харвейстером и руч, Онанимус (?), 13:06 , 16-Янв-18, (28) // А причем здесь ручной взлом Будет на страничке не один iframe и A запись, а нес, angra (ok), 02:09 , 17-Янв-18, (61) Вот и я о том же Ни кто не будет писать зловреда, перебирающего не то что IPv6,, Онанимус (?), 10:07 , 17-Янв-18, (75) +1 Ну, скорее всего, в этом случае DNS браузеру будет отдавать сам роутер и застави, КО (?), 14:36 , 16-Янв-18, (35) // Ты вообще в курсе, как работают NS в кеширующем режиме Для того, чтобы они игно, angra (ok), 02:06 , 17-Янв-18, (60) Заменяем 127 0 0 1 на 192 168 1 1 и повторяем , noname.htm (ok), 12:10 , 16-Янв-18, (26) // Отсюда мораль не оставлять дефолтный айпи у роутера Для пущих лулзов использов, Аноним (-), 02:32 , 17-Янв-18, (62) Я что-то не правильнт прочитал илиэ о очередная уязвимость браузеров , Аноним (-), 10:06 , 16-Янв-18, (3) +6 // В веб обычная практика когда один домен имеет несколько IP адресов, так что скор, nazarpc (?), 10:18 , 16-Янв-18, (10) Это использование давно известной принципиальной уязвимости браузеров применител, angra (ok), 10:56 , 16-Янв-18, (16) +3 // А почему её до сих пор не закрыли Ведь 127 0 0 1 - это локальный адрес Кстати, , Аноним (-), 00:15 , 17-Янв-18, (55) +1   // Которым активно пользуются при разработке То есть он вполне валиден , angra (ok), 02:02 , 17-Янв-18, (59) +2   И что, теперь к локальной машине нельзя обращаться по имени Это не уязвимость бр, КО (?), 10:06 , 17-Янв-18, (74)   Есть Torrential https www opennet ru opennews art shtml num 47429, Аноним (-), 10:06 , 16-Янв-18, (4) –1 // Или если надо много настроек, то qBittorrent https www opennet ru opennews art, Аноним (-), 10:14 , 16-Янв-18, (9) +3 // qBittorent вообще-то из коробки полон JavaScript ов - https github com qbit, Аноним (-), 10:55 , 16-Янв-18, (15) // Просвяти нас, о мудрейший, как сделать динамический вебгуй без яваскрипта , НяшМяш (ok), 13:11 , 16-Янв-18, (30) С помощью CSS , Аноним (-), 18:06 , 16-Янв-18, (47) И как CSSом подтянуть обновленные статусы торрентов , Аноним (-), 00:21 , 17-Янв-18, (57) Который точно также позволяет отправить запрос на 127 0 0 1 в каком-нибудь блоке, КО (?), 10:10 , 17-Янв-18, (76) Что за дурацкая привычка появилась у айтишников Не в первый раз уже в этом году, Аноним (-), 10:09 , 16-Янв-18, (6) +1 // Ага Появилась , анонимоус (?), 10:11 , 16-Янв-18, (8) +1 Вообще-то это неправда и разработчики таки отреагировали То, что руки в конечно, Аноним (-), 10:23 , 16-Янв-18, (11) +2 https ftp openbsd org pub OpenBSD songs song60a ogg, Аноним (-), 13:12 , 16-Янв-18, (31) +2 Видимо, так всем удобнее, rewwa (ok), 23:37 , 29-Янв-18, (92) Да всем побоку просто , scorry (ok), 13:06 , 30-Янв-18, (93) С этого надо было начинать , Аноним (-), 10:31 , 16-Янв-18, (12) // Это например дефолтная настройка в NAS от Asustor , Аноним (-), 18:08 , 16-Янв-18, (48) // А ssh без пароля у них нет Или только инженерные логины , Аноним (-), 02:33 , 17-Янв-18, (63) И каким образом эту уязвимость исправили в Debian , Green (??), 11:04 , 16-Янв-18, (17) // apt -y purge transmission, EHLO (?), 11:31 , 16-Янв-18, (20) –1 // Хорошо что ты не врач , Аноним (-), 02:34 , 17-Янв-18, (64) +2 Полагаю, тем же, что и в Gentoo Проверяют заголовок Host , Аноним (-), 12:08 , 16-Янв-18, (25) Чет столько понаписали, а тут всего лишь CSRF DNS rebinding , Рыба ест людей (?), 11:29 , 16-Янв-18, (19) Т е нужно 1 состряпать подлую страницу2 хакнуть DNS3 хакнуть хост с бакендом, adolfus (ok), 11:36 , 16-Янв-18, (22) // DNS хакать не нужно Достаточно купить доменное имя и правильно настроить свой, Рыба ест людей (?), 11:43 , 16-Янв-18, (23) +1 // И что тут странного Предлагаете два десктопа заводить , paulus (ok), 13:55 , 16-Янв-18, (34) // Transmission умеет работать в режиме десктопного приложения И тогда порты не от, Рыба ест людей (?), 14:58 , 16-Янв-18, (37) Каким образом режим демона связан с доступностью порта управления , scorry (ok), 15:26 , 16-Янв-18, (38) Демон без управления штука непрактичная Все-таки торенты надо как-то добавить н, Аноним (-), 02:44 , 17-Янв-18, (65) Управление бывает разным watch-dirincomplete-dir, scorry (ok), 12:01 , 17-Янв-18, (77) Ну да И как на мой вкус, прицепиться к РЕМОТНОМУ демону торентокачалки на роуте, Аноним (-), 01:31 , 18-Янв-18, (82) Послушайте, вы спросили 8212 я ответил Есть способ бросать файлы Есть Вы н, scorry (ok), 11:26 , 18-Янв-18, (84) Да можно то что угодно Тут скорее уместен вопрос а нафига Нафига это делать, Аноним (-), 00:36 , 19-Янв-18, (89) Качать маковерсию с офсайта уже безопасно А то они несколько раз протрояненную , Онаним (?), 13:11 , 16-Янв-18, (29) // После первого случая перешёл на qBittorrent Хоть под макакосью и страшный особ, НяшМяш (ok), 13:13 , 16-Янв-18, (32) +1 Эх, какие разработчики Transmission переехал на github как раз после того, как , Андрей (??), 13:38 , 16-Янв-18, (33) +2 // Да уж, к сожалению разработка у Трансмиссии совсем встала В последнее время я л, Kuromi (ok), 00:02 , 17-Янв-18, (54) // code commit eb5d1a79cbe1b9bc5b22fdcc598694ecd4d02f43Merge c8696df cf7173dAutho, Аноним (-), 02:55 , 17-Янв-18, (67) // Ну как зачем В Тиксати смотришь - ага, имеются пиры, которые, гады, не передают, Kuromi (ok), 00:28 , 20-Янв-18, (90) В тиксати смотришь - неведомый блоб, который хрен запустишь на роутере Обламыва, Аноним (-), 05:09 , 21-Янв-18, (91) +1 Шутить изволишь На гитхабе все те же лица что и в траке раньше А то что на гит, Аноним (-), 02:47 , 17-Янв-18, (66) +1 // Не вижу активного участия Jordan Lee и Mitchell Livingston Только в конце 2014-, Андрей (??), 04:06 , 17-Янв-18, (72) // Ну это да Впрочем Jordan делал core, к нему вроде крупных проблем и претензий н, Аноним (-), 01:22 , 18-Янв-18, (81) +1 ну если без пароля -- тогда о чём вообще разговор тожемне уязвимость, X4asd (ok), 15:32 , 16-Янв-18, (39) –1 А при чём тут transmission , Аноним (-), 18:11 , 16-Янв-18, (50) // Так ставьте Whonix, и в тоннель ныряйте пока от туда свет не показался , Аноним (-), 21:53 , 16-Янв-18, (52) gRPC у них мозгов запилить не хватило, зато можно юзать дырявые RPC , Мрак Цукерович (?), 22:15 , 16-Янв-18, (53) // У них RPC ориентирован на работу с вебмордами, по сути AJAX обычный, порт управл, Аноним (-), 03:02 , 17-Янв-18, (68) на Убунту патч пришёл сегодня , Аноним (-), 05:19 , 17-Янв-18, (73) 1,2,3,4,6,12,17,19,22,29,33,39,50,53,73

Сообщения

[Сортировка по времени | RSS]

	55. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+1 +/–
	Сообщение от Аноним (-), 17-Янв-18, 00:15
	А почему её до сих пор не закрыли? Ведь 127.0.0.1 - это локальный адрес. Кстати, NoSript (старый) со включённым ABE от такого защищает.
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+2 +/–
	Сообщение от angra (ok), 17-Янв-18, 02:02
	> Ведь 127.0.0.1 - это локальный адрес. Которым активно пользуются при разработке. То есть он вполне валиден.
	Ответить | Правка | Наверх | Cообщить модератору

	74. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."	+/–
	Сообщение от КО (?), 17-Янв-18, 10:06
	>Ведь 127.0.0.1 - это локальный адрес. И что, теперь к локальной машине нельзя обращаться по имени? Это не уязвимость браузера - это особенность разбора имени - ему может быть сопоставлен любой адрес, причем динамически. В силу этого проверка по имени домена это ни о чем. P.S. проблему как-то могло бы решить обнаружение запросов к другому серверу по сертификату (в случае SSL), вместо cross-domain.
	Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема