Это копия, сохраненная 14 апреля 2018 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Вкратце: через веб-интерфейс (если он используется) можно полностью поиметь ваш комп, через JSON RPC server можно загрузить с вашего компа любой файл, который вы скачали через uTorrent (если uTorrent запущен).
Читаем, просвещаемся.
https://bugs.chromium.org/p/project-zero/issues/detail?id=1524
Для защиты достаточно, по идее, отключить веб-интерфейс и блокировать все входящие TCP соединения на порт 10000.
Некоторые трекеры уже исключили uTorrent из своих белых списков, поэтому придётся, всё-таки, переходить на какой-то другой клиент: qBittorent, Transmission, Deluge, Vuze, что ещё?
Всё это касается новых версий 3+. Насколько безопасны 2.2.1- неизвестно.
Не поддерживает µTP, подгрузку метаданных magnet-ов и последовательную загрузку файлов.
>Не поддерживает µTP, подгрузку метаданных magnet-ов и последовательную загрузку файлов.
Пиздёжь.
На винду онли кубит.
Сам не пизди.
Вот автор сам говорил в 2015 году, что поддержку μTP в обозримом будущем он реализовать не сможет.
https://github.com/rakshasa/libtorrent/issues/33
Клиент с сентября 2015 не обновлялся.
Поддержки последовательной загрузки файлов нет, даже поддержки local peer discovery нет.
https://www.slant.co/versus/3724/3733/~qbittorrent_vs_rtorrent
Про отсутствие поддержки подгрузки метаданных magnet-ов в педивикии написано.
> можно загрузить с вашего компа любой файл, который вы скачали через uTorrent
Лол, в чем тут уязвимость?
> Это какие же? Пидорашьи?
https://www.reddit.com/r/trackers/comments/7zshwu/all_versions_of_utorrent_removed_from_the/ AnimeBytes whitelist
https://www.reddit.com/r/trackers/comments/7zv0yi/all_versions_of_utorrent_removed_from_the/ Oppaitime whitelist
BakaBT
> Тем более, что в версиях 1.х и 2.х всё норм, а 3.х в последнем билде исправили.
Нет. Просто никто из секьюрити ресерчеров не будет проверять заброшенные версии. Ни одну, даже мегапопулярную. Только свежую.
Поэтому окуклившиеся трекеры разбанят только новую исправленную, но не старые.
Потому что нормальных браузеров не существует. Только сорта говна.
Можешь исправить это тупейшее недоразумение 4 правилами в юматриксе или юблоке https://github.com/ghacksuserjs/ghacks-user.js/wiki/4.2.3-uMatrix
>Поэтому окуклившиеся трекеры разбанят только новую исправленную, но не старые.
Нахуя её трекеры забанили? Нахуя вообще трекеры что-то банят? Они ебнутые?
>AnimeBytes
>Oppaitime
Два полудохлых трекера с тремя школьниками.
Итого, только один трекер BakaBT, да и тот с админом-школьником и детьми-юзерами.
Конечно же к такому питушиному мнению на других трекерах обязательно прислушаются.
>заброшенные версии
Самые популярные на закрытых трекерах.
>Вкратце: через веб-интерфейс (если он используется) можно полностью поиметь ваш комп
Ты самое главное не указал. Не просто через веб-интерфейс (т.к. из внешних интернетов на него не зайдёшь), а через ваш собственный браузер, подключающийся к веб-интерфейсу при посещении любого сайта. Даже абу может поиметь всех юзеров, у которых запущен µTorrent.
Он запущен по умолчанию и на µTorrent Web (как ни странно), и на µTorrent Classic:
>this is a complete remote compromise of the default uTorrent web configuration
>By default utorrent Classic creates a JSON RPC server on port 10000
Если я правильно понял, с Web можно поиметь пеку полностью, с Classic — только получить файлы загруженных торрентов. Пока что.
Дополнительно, если верить написанному, даже при отключённом веб-интерфейсе Classic можно поиметь через основной порт, который тоже обрабатывает HTTP-запросы.
https://www.reddit.com/r/trackers/comments/7yzfsv/bittorrent_client_utorrent_suffers_security/
Просто при запуске uTorrent на компе открываются TCP порты, доступные извне. И любой может что угодно на эти порты послать. Браузер тут ни причём.
> Самые популярные на закрытых трекерах.
Да, но их аргумент как раз в том, что необновляемые много лет клиенты не должны быть популярными. Вообще хватает таких людей, кому ютор кость в горле, сейчас они очень рады возможности его утопить.
Только жаль, что не понимают, что для многих продвинутых юзеров все открытые клиенты (по крайней мере под винду, про линуховый рторент мало что знаю) имеют те или иные серьёзные недостатки, а так же вылезают багнутыми версиями (особенно кубитоговно). И на пропагандонское I personally think new uTorrent is trash and am not suggesting to use new uTorrent, there are much better clients out there [1], которыми усеян реддит и форч, хочется харкнуть в лицо и послать пиздить это хомячкам, качающим иногда Black Panther, которым любая хрень подойдёт в виде клиента без проблем.
[1] https://www.reddit.com/r/trackers/comments/80agki/ut_221_hasnt_been_conclusively_been_proven_to_be/duuqojf/ (показательная ветка, кстати)
Юзаю utorrent 2.2.1
Нет не раздули, просто это уязвимость 3 ветки.
+ самое важное фолсануть net.? Дальше не помню команду, но краши прекращались.
Спасает ли это?
Охуенно помог, вообще заебись, братишка.
Короче как я понял ЕСЛИ пользователь нажмет на особо хитрожопу ссылку ТО клиент мюторрента может выполнить одно из стандартных действий типа добавить что-то в закачку ВСЕМ ССАЦА
Пиздишь, маня. Забанили только третью версию, кроме последнего билда. Первую и вторую версии не банили, а рекомендовали в настройках выставить net.discoverable FALSE.
>только получить файлы загруженных торрентов
Для приватных трекеров более чем достаточно, чтобы заблокировать клиент, выдающий пасскеи будь то добровольно или через эксплоит.
Где? На бакабт позже разбанили версии до 3 под натиском.
> а рекомендовали в настройках выставить net.discoverable FALSE.
Потому что долбоёбы. Это только закрывает порт 10000, который юзает демо гуглзеро. Этот чел прямо там писал, что не трогал старые версии и не собирается. Поэтому его демо даже на 3.1.3 не работает, а вы там радуетесь что ваши 2 и 1.8 не пробиваются им, лол. А от того демо надо защищаться так >>60115, заодно и от всякого другого говна обезопасишься.
Никто не мешает ебать тебя через порт входящих соединений, который ты палишь на всех раздачах.
>>60335
Нет. И diskio нахуй ты тронул?
Результат "испытаний".
Значит это ли что можно как обычно положить хуй на паникеров?
сорян пик забыл
ты охуеешь их выскабливать из потока данных
...поиск даже есть. в utorrent всегда бесило что его не было
вроде не только в кнопочках дело, давайте разбираться, потому что остальных пользоваться не возможно нормально, Transmission очень минималистичный, в нем только скачка и все.
3.1.3, кнопки то не работают, но там вроде еще что-то было.
>Некоторые трекеры уже исключили uTorrent из своих белых списков, поэтому придётся
К старым версиям это относится ?
Чтобы сработал второй пример на доступ к закачкам, мне нужно было отключить блокировщик рекламы и разрешить незащищённое содержимое в браузере, ещё и ждать несколько минут, пока появятся результаты. А если ещё браузер морозит фоновые вкладки, то и это не успеется. Баг есть, но это надо сильно постараться, чтобы попасться.
какой торрент качать то? чтобы проверить, хочу 3.1.3 проверить, кнопки не работают по первому примеру web параметр отключен
архив, лебзя
открой мю, в котором уже есть завершённые торренты и потом запускай тест ничего не меня в полях
с этим тоже работает да? webui.allow_pairing в false
не мог бы потестить все версии? может найдется старая utorrent, какая-нибудь 2 или 1.8, которая не будет работать?
Transmission кусок гавна, а остальные уродлливые блетовотные клиенты
Кто этим говном пользуется все еще, что за необучаемые долбаебы?
лучший клиент под виндовс, куча плюшек, автоматические загрузки сериалов. Ну и удобно вообще качать и не вирвиглазный интерфейс
Я этим говно вообще не пользуюсь, на реддите прочитал, ну и в подвержении этого трекеры перестали блочить старые версии, только начиная с 3.15 вроде.
>Все предыдущие версии uTorrent восприимчивы к этой ошибке, включая 2.2.1.
с редита
https://www.reddit.com/r/trackers/comments/7yzfsv/bittorrent_client_utorrent_suffers_security/
Ещё месячной давности принеси новость, деб.
Потому что ты мышкодав.
Как всегда охуительные истории про "дыры", вкратце оп-хуй читал свою же ссылку жопой. Через web-версию utorrent ту что слева блять https://web.utorrent.com/, сайт может получить доступ к клиенту и теоретически накачать и попытаться запустить говна.
Десктопная версия, через обращение к localhost в браузере, будто бы может выдать скачанные торренты ну охеть теперь и вроде как выполнить какие-то запросы к самому клиенту http://lock.cmpxchg8b.com/utorrent-crash-test.html, но у меня он на это не отреагировал никак v3.5.1, на http://localhost:10000/gui никакого ответа. При этом клиент должен быть разумеется запущен.
в 2018 майнеров нет, дырочки под защитой
Значит ты совсем глупый, достаточно оригинальную статью почитать которую тут уже вбрасывали. Проблема не в том что есть rpc, а то что по этому rpc без аутентификации отдается персональная инфа.
>Ору блять, мюторрентодэбилы соснули. Снова
В следующий раз, когда орёшь не напрягайся сильно. Ладно?
>мимокьюбитогосподин
Проснись, ты на одной нише что и мюторрент. Не забудь штаны закинуть в стиралку.
Админы трекеров с перепугу всё разом забанили мда...
АХАХАХАХА
Атака на системы с rTorrent для скрытого майнинга криптовалюты
http://www.opennet.ru/opennews/art.shtml?num=48177
сработал, но это надо самому раком нагнуться и ждать пока чпокнут
Советую посетить нормального, платного окулиста. Удачного курса лечения.
А чего ты хотел от опын сорса? Я вроде поставил этот ваш кубит на пробу но колхозным линухом от него всё равно за версту несёт.
>>60145
uTorrent 3.4.2-кун репортинг ин.
Нажимаю кнопки в фарефоксе - эффект нихуя. Нажимаю кнопки в дефолтном эксплорере. Первыя - нихуя. 2, 3, 4 - пик релейтед. Итого, всегда требуется какое-то действие пользователя.
Сделел как показано тут >>60335 стало все 4 кнопки в эксплорере эффект нихуя.
Говно какое-то, а не баг. Кстати, для мелтдаунов со спектрами есть какой-нибудь пруф оф концепт в виде подобного сайта?
то что ты накликал хуйня да, она вообще отключается, но не отключается перемещение раздач в автозагрузку и список раздач, хуй знает что еще там может быть, может и торрент загрузить и переместить в автозагрузку можно.
Обновляйтесь на 3.5.3, там можно все пофиксить
Перемещение раздач в автозагрузку было в Web версии, в десктопной самое страшное что могли увидеть ваши раздачи и то если сильно изъебнуться это примерно с версии 3.5 до предпоследней. Ещё с ошибкой программа могла вылететь, но это уже не работает в 3.4.2 и ниже, так же как и возможность получить раздачи. Например в 3.1 3.0 2.* не работает ничего из этого неважно через какой порт, кроме запросов на спаривание, которые можно запретить в настройках.
>3.5.3
Его можно использовать в портабле режиме?
В старых версиях просто делаешь пустой файл settings.dat в папку с экзешником и он без вопросов работает как портабле. А последний 3.5.3 сейчас с сайта скачал, он и с файлом settings.dat все равно мастер установки запускает.
не 3.4.2, а 3.4.5 и ниже
> блокировать все входящие TCP соединения на порт 10000.
Ты жопой читал. Там написано что это можнт через браузер эксплуатироваться?
А ты умен.
если там не помогут, то можно еще сделать костыль в виде библиотеки winsock2.dll, которая будет создавать все сокеты, кроме 10000.
На основе вот этого https://github.com/VariantXYZ/ws_intercept
Омега-дрыщ плз, не плачь, я же не хотел тебя настолько сильно протыкать. Ты главное успокойся, а то сейчас опят начнешь на своего обидчика стрелки метать и фантазировать об анусах.
Есть же куча нормальных клиентов под винду, включая делюгу и кубит.
> Есть же куча нормальных клиентов под винду, включая делюгу и кубит.
Нету. Только говно ебаное, особенно кубит.
С другими уязвимостями, которые точно никогда не будут закрыты.
Если у меня версия 1.8, то мне ничего не угрожает?
Всмысли, в этой версии даже не исправлена уязвимость, которая позволяет дудосить через тебя, будешь нодой какого-нибудь ботнета.
Боря, сьеби уже, или тебя еще раз обоссать?)
Бамп с тринадцатой же.
Орнул с дебсов, но так и не понял: в чём преимущество вашего юторрента от любого другого (допустим кубитторрента)? Только по конкретике.
У кубит'а опенсурс => можно удостовериться об отсутствии майнеров и т.п.
> опенсорс
This. На этой доске львиная доля софтосрачей - это "Opensource vs. Closed Source". Сейчас набегут адепты клозетсорса и начнут кидать говном. А потом и опенсорса. Впрочем, они уже в треде посрались.
Почитай чейнджлоги и тех, и других. У uTorrent-а всё сводится к фиксам лицензии, рекламы, антивируса. То есть багов с основным функционалом нет. У других клиентов - постоянные фиксы падений, качалки, интерфейса. Вывод: нужен готовый продукт здесь и сейчас - выбираешь uTorrent рекомендуемых версий.
У меня не было ни одного падения на qBit'е. Не вылетал, качает прекрасно, ограничение скорости работает. Можно dht вырубить, есть сокрытие id клиента. Последовательное скачивание работает.
А отсутствие у юторрента нормального в ченджлоге не равняется отсутствию правок. Они же могли и поправить, мы не сможем проверить. А в опенсурсовых клиентах мы можем по коммитам на изи посмотреть изменение в коде.
>У uTorrent-а всё сводится к фиксам лицензии, рекламы, антивируса
>значит багов с основным функционалом нет
Интересная логика.
Какой-то ты странный, думаешь, они не могут просто забить на баги просто потому, что могут, вы же и так сожрёте. Алсо вангую наглую ложь о том, что они вообще не фиксят "основные функции".
В медиагет был троян дающий полный контроль над пека, гугли "подсмотрено медиагет"
> В медиагет был троян дающий полный контроль над пека, гугли "подсмотрено медиагет"
Я в шоке. Пиздец.
Убогий униженный вырожденец походу всерьёз решил дежурить в треде. У омег всегда так, когда им порвёт они дежурят в тредах и отвечают на каждый пост, пока мамка не позовёт есть.
Торрент вообще потихоньку скатывается, накрутили ебучей рекламы, пока не сильно мешает, но чем дальше тем походу будет хуже
Это копия, сохраненная 14 апреля 2018 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.