c.m.g
15-02-2016, 09:12
lunedì 15 febbraio 2016
L'analisi del nuovo plug-in per lo streaming da torrent direttamente nel browser rivela problemi di sicurezza significativi, una situazione che minaccia la privacy del "pirati" e non solo. Meglio i client desktop che il browser
Roma - Lo sviluppatore Andrew Sampson ha dato una occhiata ravvicinata (http://blog.andrew.im/) al codice di Torrents Time, plug-in per browser Web che promette di facilitare lo streaming P2P di contenuti su rete BitTorrent direttamente nel contesto dei motori di ricerca più popolari come The Pirate Bay e (presto) KickAss Torrents. Un progetto che secondo Sampson è pieno di vulnerabilità potenzialmente molto serie.
Sampson, già autore di Aurous - il "Popcorn Time della musica" finito subito nel mirino (http://punto-informatico.it/4289319/PI/News/riaa-aurous-stroncato-sul-nascere.aspx) dell'industria del copyright - ha scoperto che la necessità di far girare un intero client BitTorrent in un browser Web ha portato a scelte di programmazione "creative" e, in ultima istanza, pericolose.
Torrents Time fa prima di tutto abuso della tecnica di cross-origin resource sharing (CORS) per la richiesta di risorse da una pagina Web esterna, un metodo che nel plug-in può portare alla compromissione sia dei contenuti scaricati che dell'indirizzo IP reale dell'utente.Un altro problema non secondario è il fatto che Torrents Time giri in maniera persistente in background, un consumo di risorse che tra le altre cose potrebbe portare a consumi imprevisti della batteria nel caso dei sistemi portatili. Da un bug nell'utilizzo della CPU si potrebbe passare a falle ancora più serie, dice Sampson.
L'analisi dell'autore di Aurous suggerisce di abbandonare (http://gizmodo.com/maybe-you-shouldnt-stream-torrents-in-your-browser-1758664928) i due secondi di praticità guadagnati con un plug-in Web come Torrents Time per utilizzare un client BitTorrent desktop completo, una soluzione molto meno problematica per la condivisione di contenuti - al netto dello streaming diretto - che presto potrebbe tornare a essere l'unica scelta possibile se le major riusciranno ad affossare il progetto Torrents Time come già hanno detto di voler fare (http://punto-informatico.it/4300583/PI/News/torrents-time-attacco-dei-detentori-dei-diritti.aspx).
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4301450/PI/News/torrents-time-sicurezza-dubbio.aspx)
L'analisi del nuovo plug-in per lo streaming da torrent direttamente nel browser rivela problemi di sicurezza significativi, una situazione che minaccia la privacy del "pirati" e non solo. Meglio i client desktop che il browser
Roma - Lo sviluppatore Andrew Sampson ha dato una occhiata ravvicinata (http://blog.andrew.im/) al codice di Torrents Time, plug-in per browser Web che promette di facilitare lo streaming P2P di contenuti su rete BitTorrent direttamente nel contesto dei motori di ricerca più popolari come The Pirate Bay e (presto) KickAss Torrents. Un progetto che secondo Sampson è pieno di vulnerabilità potenzialmente molto serie.
Sampson, già autore di Aurous - il "Popcorn Time della musica" finito subito nel mirino (http://punto-informatico.it/4289319/PI/News/riaa-aurous-stroncato-sul-nascere.aspx) dell'industria del copyright - ha scoperto che la necessità di far girare un intero client BitTorrent in un browser Web ha portato a scelte di programmazione "creative" e, in ultima istanza, pericolose.
Torrents Time fa prima di tutto abuso della tecnica di cross-origin resource sharing (CORS) per la richiesta di risorse da una pagina Web esterna, un metodo che nel plug-in può portare alla compromissione sia dei contenuti scaricati che dell'indirizzo IP reale dell'utente.Un altro problema non secondario è il fatto che Torrents Time giri in maniera persistente in background, un consumo di risorse che tra le altre cose potrebbe portare a consumi imprevisti della batteria nel caso dei sistemi portatili. Da un bug nell'utilizzo della CPU si potrebbe passare a falle ancora più serie, dice Sampson.
L'analisi dell'autore di Aurous suggerisce di abbandonare (http://gizmodo.com/maybe-you-shouldnt-stream-torrents-in-your-browser-1758664928) i due secondi di praticità guadagnati con un plug-in Web come Torrents Time per utilizzare un client BitTorrent desktop completo, una soluzione molto meno problematica per la condivisione di contenuti - al netto dello streaming diretto - che presto potrebbe tornare a essere l'unica scelta possibile se le major riusciranno ad affossare il progetto Torrents Time come già hanno detto di voler fare (http://punto-informatico.it/4300583/PI/News/torrents-time-attacco-dei-detentori-dei-diritti.aspx).
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4301450/PI/News/torrents-time-sicurezza-dubbio.aspx)