qBittorrent to obok między innymi uTorrent jeden z najlepszych klientów sieci torrent. Narzędzie dostępne w sieci od mniej więcej 2006 roku okazało się mieć poważną lukę. Od 2010 roku program akceptował praktycznie każdy certyfikat SSL w domenach i adresach umieszczonych w komponencie DownloadManager. 14-letnia luka w qBittorrent została właśnie usunięta.
qBittorrent i 14-letnia luka… czy raczej: „luka”
Certyfikaty SSL są tokenami bezpieczeństwa, wykonującymi dwie czynności. Po pierwsze weryfikują one, czy źródło ruchu sieciowego pochodzi ze strony internetowej, z której rzekomo pochodzi. Po drugie: umożliwiają szyfrowanie treści przechodzących przez to połączenie. Biorąc pod uwagę fakt, iż BitTorrent jako protokół opiera się na transferze plików peer-to-peer, logicznym wydaje się, iż zakłada otrzymywanie bezpiecznych plików z domowego serwera lub choćby komputera. Wyłączenie weryfikacji umożliwia użytkownikom komunikowanie się z takimi źródłami i pobieranie z nich bez żadnych problemów.
Podatność w qBittorrent występowała od kwietnia 2010 roku, kiedy to zmieniono domyślny stan weryfikacji SSL z włączonego na wyłączony. Pozwoliło to wtedy wyeliminować błędy związane z bezpieczeństwem, które denerwowały użytkowników, ale też uniemożliwiały pobieranie torrentów z niezweryfikowanych źródeł. Jak prawdopodobnie się domyślacie, nie jest to bezpieczne, lecz… ułatwia sprawne pobieranie plików.
W nowym qBittorrent 5.0.1 wspomniana 14-letnia luka nie występuje. Twórcy systemu postanowili zmienić po ponad dekadzie domyślne ustawienie na włączone. Jest ono oczywiście przez cały czas dostępne dla użytkowników, więc ci, którzy chcą podjąć ryzyko, mogą po prostu weryfikację wyłączyć.
W ten sposób chyba wszyscy będą zadowoleni?
