如果您已经安装了 Torrents Time(一款可让您在浏览器中串流 Torrent 的“革命性插件”),那么可能是时候卸载它了。一些开发人员确实分析了该软件并发现了巨大的安全缺陷。第一个解决这个问题的是安德鲁·桑普森。
在一个博客文章,这位计算机科学家列出了这个插件的编程接口的一系列问题。因此,一行 Javascript 代码就足以允许任何站点将任何内容下载到该插件用户的计算机上。几行代码就可以让您知道用户正在下载哪些种子以及通过哪个浏览器下载。
Andrew Sampson 还发现该插件在 Mac OS X 上以“root”模式安装,这意味着它可以访问整个系统。这是非常不推荐的。最后,使用 Torrents Time 的网站(例如 The Pirate Bay)很容易受到“跨站脚本”(XSS)攻击。
Torrents Time 实际上是一个代理
在红迪网,几位开发者也仔细考察了这款软件。事实证明,Torrents Time 不仅仅是一个可以“直接从浏览器传输种子”的插件。它实际上是一个作为服务安装在计算机上的代理,它从网站获取种子,将其转换为 MP4 流并将其传输到浏览器。浏览器扩展仅用于驱动代理服务。
据开发者“Wack0”介绍,两者通过 TLS 加密连接进行通信,这对于此类代理来说相当常见。然而,愚蠢的是二进制文件立即包含此连接的证书和私钥。这些现在可以在GitHub。因此,这为拦截攻击(例如“中间人”)打开了大门。就 Torrents Time 的开发者而言,他们试图逐点回答针对他们的软件的指控。但他们的论点并不十分可信,而且他们的言论近乎侮辱性。因此,最好放弃。
Opera One - AI 驱动的网络浏览器
作者:歌剧