Link alla notizia: https://www.hwupgrade.it/news/web/risolto-bug-di-sicurezza-in-qbittorrent-gli-utenti-sono-rimasti-esposti-per-14-anni_132410.html

Una vulnerabilità nella gestione dei certificati SSL/TLS ha permesso potenziali attacchi man-in-the-middle dal 2010. La correzione arriva con l'ultimo aggiornamento del popolare client BitTorrent.

Click sul link per visualizzare la notizia.

Si racconta sempre che l'opensource sia più sicuro... :asd:

Si racconta sempre che l'opensource sia più sicuro... :asd:

Le vulnerabilità identificate includevano la possibile distribuzione di un installer Python malevolo su Windows ..:asd:

Link alla notizia: https://www.hwupgrade.it/news/web/risolto-bug-di-sicurezza-in-qbittorrent-gli-utenti-sono-rimasti-esposti-per-14-anni_132410.html

Una vulnerabilità nella gestione dei certificati SSL/TLS ha permesso potenziali attacchi man-in-the-middle dal 2010. La correzione arriva con l'ultimo aggiornamento del popolare client BitTorrent.

Click sul link per visualizzare la notizia.
Come?
Cosa?
Da BEN QUATTORDICI ANNI? :mbe:
E ci se ne accorge ora? :mbe:
Penso che per l'esposizione al MAN-IN-THE-MIDDLE, gli utenti possono allora essere stati definiti quali:

MEN-IN-THE-QUAGMIRE*

(* QUAGMIRE=PANTANO)
: D

(trad. cit. UOMINI NEL PANTANO ) :D

Si racconta sempre che l'opensource sia più sicuro... :asd:
Ed infatti, a parità di condizioni, lo è.

Sinceramente qBittorrent non mi è mai piaciuto.

Per me i client interessanti sono:

1) BiglyBT
2) Deluge

Non vedo perché andarsi a impantanare quando con questi due sostanzialmente si coprono tutte le necessità.

Ed infatti, a parità di condizioni, lo è.
Eppure l'articolo di Sharp Security ci dice che il maggiore pericolo deriva proprio dalla natura os:

Because this software is open source, it is trivial to add a backdoor to it and recompile, and therefore give a victim fully functional software, avoiding the victim’s suspicion.

Per quanto dal basso della mia ignoranza non ho mai creduto molto nella "sicurezza tramite segretezza"

Comunque se ho capito bene questa falla, che probabilmente non è nemmeno stata concretamente mai usata era inerente l'update automatico, chi aveva disattivato questa funzione o usato una versione "portable" era quindi fuori pericolo



Sinceramente qBittorrent non mi è mai piaciuto.


De gutibus, anche se sono anni che non scarico un solo file torrent, anni fa dopo aver abbandonato utorrent ero passato proprio a qbittorent che fra i tanti client che ho provato era quello più leggero e con l'interfaccia simile a utorrent... avevo provato anche Deluge ma a memoria non mi era piaciuto molto, BiglyBT invece non l'avevo mai sentito.

De gutibus, anche se sono anni che non scarico un solo file torrent, anni fa dopo aver abbandonato utorrent ero passato proprio a qbittorent che fra i tanti client che ho provato era quello più leggero e con l'interfaccia simile a utorrent... avevo provato anche Deluge ma a memoria non mi era piaciuto molto, BiglyBT invece non l'avevo mai sentito.

Delunge diciamo che è per chi ha esigenze particolari e specifiche. Non è esattamente "amichevole" come client. Ad esempio è interessante per chi ha necessità di una interfaccia remota via web.

Bigly invece è super funzionale per l'utente in generale. Si basa su quello che era ai tempi Azureus ed è stato riscritto senza ads, bloat ware e simili rendendolo forse il client più funzionale per chi vuole prendere un torrent e scaricarlo senza saper configurare una ceppa fermo restando che ha tantissime funzioni avanzate per chi si vuole sbizzarrire.

Eppure l'articolo di Sharp Security ci dice che il maggiore pericolo deriva proprio dalla natura os:

Because this software is open source, it is trivial to add a backdoor to it and recompile, and therefore give a victim fully functional software, avoiding the victim’s suspicion.

Per quanto dal basso della mia ignoranza non ho mai creduto molto nella "sicurezza tramite segretezza"

Ma lì parla del carico malevolo, che può essere inserito nel programma, compilato, e diffuso.
Al posto della versione modificata di quel programma, avrebbero potuto far installare qualsiasi malware...

La falla, invece, sta nel "non" controllo dei certificati dei server di download.
E la differenza tra open e closed source sta solo nel fatto che, se fosse stato closed, magari ancora non saremmo a conoscenza della falla...

Eppure l'articolo di Sharp Security ci dice che il maggiore pericolo deriva proprio dalla natura os:

Because this software is open source, it is trivial to add a backdoor to it and recompile, and therefore give a victim fully functional software, avoiding the victim’s suspicion.

per usare un francesismo: bella troiata.
è esattamente l'opposto.
anzi, qualcuno si ricorda di Interbase? alla sharp security hanno la memoria corta, vedo.

Sharp Security
Because this software is open source, it is trivial to add a backdoor to it and recompile, and therefore give a victim fully functional software, avoiding the victim’s suspicion.

Comunque se ho capito bene questa falla, che probabilmente non è nemmeno stata concretamente mai usata era inerente l'update automatico, chi aveva disattivato questa funzione o usato una versione "portable" era quindi fuori pericolo


a parte che quel fraseggio di Sharp Sec. è palesemente pilotato da pregiudizi: è chiaro che chiunque puo ricompilare e immettere nel network roba edulcorata: è successo e succederà ancora, sia nell'open che nel closed.
- ma di sicuro se succede c'è una speranza in piu che qualcuno ci metta becco e scopra gli altarini rispetto una situazione closed, poco ma sicuro -

sull'update automatico, di quelli non mi son mai fidato veramente al 100%

PS: comunque ci sono bug anche nel closed che sono li da decenni e nessuno li ha mai tappati, sorpresa!

uso tixati da quando è uscito.