qBittorrent to obok między innymi uTorrent jeden z najlepszych klientów sieci torrent. Narzędzie dostępne w sieci od mniej więcej 2006 roku okazało się mieć poważną lukę. Od 2010 roku program akceptował praktycznie każdy certyfikat SSL w domenach i adresach umieszczonych w komponencie DownloadManager. 14-letnia luka w qBittorrent została właśnie usunięta.
qBittorrent i 14-letnia luka… czy raczej: „luka”
Certyfikaty SSL są tokenami bezpieczeństwa, wykonującymi dwie czynności. Po pierwsze weryfikują one, czy źródło ruchu sieciowego pochodzi ze strony internetowej, z której rzekomo pochodzi. Po drugie: umożliwiają szyfrowanie treści przechodzących przez to połączenie. Biorąc pod uwagę fakt, iż BitTorrent jako protokół opiera się na transferze plików peer-to-peer, logicznym wydaje się, że zakłada otrzymywanie bezpiecznych plików z domowego serwera lub nawet komputera. Wyłączenie weryfikacji umożliwia użytkownikom komunikowanie się z takimi źródłami i pobieranie z nich bez żadnych problemów.
Podatność w qBittorrent występowała od kwietnia 2010 roku, kiedy to zmieniono domyślny stan weryfikacji SSL z włączonego na wyłączony. Pozwoliło to wtedy wyeliminować błędy związane z bezpieczeństwem, które denerwowały użytkowników, ale też uniemożliwiały pobieranie torrentów z niezweryfikowanych źródeł. Jak zapewne się domyślacie, nie jest to bezpieczne, lecz… ułatwia sprawne pobieranie plików.
- Pobierz: qBittorrent (Windows)
W nowym qBittorrent 5.0.1 wspomniana 14-letnia luka nie występuje. Twórcy oprogramowania postanowili zmienić po ponad dekadzie domyślne ustawienie na włączone. Jest ono oczywiście nadal dostępne dla użytkowników, więc ci, którzy chcą podjąć ryzyko, mogą po prostu weryfikację wyłączyć.
W ten sposób chyba wszyscy będą zadowoleni?
Źródło: qB