如果您安裝了洪流時間,則可以在瀏覽器中流式流式傳輸“革命性插件”,也許是時候卸載它了。確實,一些開發人員確實分析了該軟件,並確定了巨大的安全缺陷。第一個查看問題的是安德魯·桑普森(Andrew Sampson)。
在部落格,該計算機科學家列出了此插件的編程接口一系列問題。因此,JavaScript中的一系列代碼足以允許任何站點在此插件的用戶的機器上下載任何內容。幾行可以知道用戶正在下載哪個洪流以及通過哪個瀏覽器。
安德魯·桑普森(Andrew Sampson)還發現,插件在Mac OS X上以“ root”模式定居,這意味著它可以訪問整個系統。很少推薦。最後,使用時間洪流的站點(例如海盜灣)很容易受到“交叉點腳本”類型攻擊(XSS)的影響。
時間洪流實際上是代理
在reddit,一些開發人員還使用放大鏡檢查了該軟件。事實證明,Torrents時間不僅僅是一個能夠“直接從瀏覽器流式洪流”的插件。它實際上是一個以計算機上服務形式設置的代理,該機構將在網站上尋求洪流,從而將它們轉換為MP4流並將其轉移到瀏覽器中。瀏覽器擴展只用於控制代理服務。
根據開發人員的“ WACK0”的說法,這兩個通過TLS加密連接進行了交流,這對於這種代理來說很常見。另一方面,愚蠢的是,二進製文件立即集成了此連接的證書和私鑰。這些現在可以Girub。因此,這為“中間人”類型的攔截攻擊打開了大門。對於他們來說,時間洪流的開發商試圖報告點針對其軟件的指控。但是他們的論點不是很可信,他們的話幾乎是濫用的。因此,最好放棄。
Opera One-促進AI的Web瀏覽器
作者:歌劇
