Deutsch
English
Español
Français
Italiano
Nederlands
Polski
Português
Türkçe
Svenska
Chinese
MagyarqBittorrent спокойно устраняет 14-летнюю брешь в системе безопасности
qBittorrent, популярное приложение для пирингового обмена файлами, появившееся в 2006 году, уже более года принимает практически любой SSL-сертификат в доменах и адресах, вводимых в компонент DownloadManager приложения более 14 лети теперь эта уязвимость исправлена. Исправление, создавшее потенциальную брешь в системе безопасности, было представлено еще в апреле 2010 года и было довольно простым; все, что оно делало, это меняло состояние проверки SSL по умолчанию с включенного на отключенное. Это позволило избавиться от досадных ошибок безопасности, которые потенциально могли раздражать пользователей и мешать им загружать контент из непроверенных источников. Начиная с 28 октября 2024 года и версии 5.0.1, состояние по умолчанию снова стало включенным. Стоит отметить, что qBittorrent не дал никаких объяснений этому изменению и не уведомил пользователей каким-либо особым способом, помимо обычных примечаний к патчам, которые сопровождают новые версии.
SSL-сертификаты - это маркеры безопасности, которые делают две вещи: они проверяют, что источник веб-трафика исходит от того сайта, о котором он заявляет, и позволяют шифровать содержимое, передаваемое по этому соединению. Учитывая, что протокол BitTorrent основан на передаче файлов по принципу "равный-равному", вполне логично, что можно получать совершенно безопасные файлы с чьего-то домашнего сервера или даже со своего компьютера, а это значит, что он может быть не приспособлен для авторизации SSL-сертификата. Если оставить эту галочку отключенной, пользователи смогут общаться с такими источниками и скачивать с них без проблем.
Обратная сторона проблемы заключается в том, что отсутствие SSL-сертификата или принятие незаконного сертификата открывает возможность практически любому источнику веб-трафика с любого сервера выдавать себя за тот, к которому пытается обратиться пользователь. Это, в свою очередь, позволит плохим игрокам перехватывать трафик, возможно, красть информацию с хост-систем или пользовательских систем, а также внедрять практически любой код, который они захотят. Во многих отношениях такая атака типа "человек посередине" обходит многие традиционные меры безопасности, такие как брандмауэры, которые в противном случае защитили бы пользователей от плохих игроков.
Настройка, определяющая, будет ли приложение принимать соединение без проверки SSL-сертификата, по-прежнему доступна пользователям, поэтому те, кто готов рискнуть, могут просто отключить ее. Среднестатистический пользователь "plug-and-play" обычно не заглядывает в настройки приложения перед его использованием, не знает, как работают SSL-сертификаты и какие риски возникают при отключении этой настройки, что делает этот шаг положительным для безопасности приложений.
Источник(и)
