[torrent] Et si xthor.bz n’était pas si privé que ça !
Salut la jeunesse !
Bon je regardais un petit peu les trackers privés encore debout ...
Oui oui c'est un peu l’hécatombe en ce moment...
Je suis ainsi tombé sur xthor.bz
Alors bon, j'ai regardé ça sous tous les angles et toutes les coutures (comme on dit par chez nous) ...
Ce tracker est vraiment classe, un design soigné, des téléchargements rapides ...
Bref, on voit que les mecs derrière ce site, se sont vraiment fait plaisir, et se sont donné du mal pour notre bien !
En apparence les inscriptions sont closes ... ouvertes de temps en temps ... ou bien, il faut être l'ami de l'ami d'un ami qui a un compte là-bas pour nous filer un code d'invitation pour nous créer un compte ....
Donc on pourrait se dire qu'ils ne laissent pas entrer n'importe qui, et surtout pas nos compagnons de chez Hadopi !
Mais l'histoire est cruelle et méchante ...
xthor.bz malheureusement à beaucoup beaucoup et encore beaucoup de torrents référencés sur la toile !
Aucun contrôle d'accès ...
Aucune authentification ...
Çe n'est pas verrouillé comme chez T411, et ça télécharge sans problème, et sans inscription !
Du coup, n'importe qui peut télécharger !
Et quand je dis n'importe qui ... je dis VRAIMENT n'importe qui ... y compris les copains de chez Hadopi, qui pourront de leur cotés savourer les quelques ip collectées ...
Bref, les amis ... tout ça pour vous dire de faire bien attention là où vous allez télécharger ;)
Ben tu peux trouver des liens vers n’importe quel tk privé qui a du RSS (j’avais trouvé des liens RSS pour des tk privés dans le passé qui permettait l’accès a tous les torrents du site).
C’est juste qu’une personne a laissé trainé sur un site un son lien RSS et du coup google index tous les liens…
Ce passkey va surement être banni/changer par un membre du staff quand quelqu’un l’aura signalé et le problème sera réglé (vu que tous les liens ont le même passkey)
Ce n’est pas un problème de sécurité du tracker, c’est juste un membre con qui ne sait pas qu’il ne faut pas mettre ses liens RSS n’importe où.
Alors selon toi, tester l’authentification d’un user via l’url n’est pas une faille de sécurité ?
Je ne parle pas d’une faille permettant l’accès à des informations privé … mais le fait de mettre à disposition des liens pouvant être exploité par n’importe qui … sans test d’une session (utilisateur connecté) … là je trouve la faille
En soit, que les liens soit référencé, ça ne pose aucun problème …
Mais dans l’entête des pages qui génère le .torrent, un simple contrôle de l’utilisateur …
If (passkey != 1234 || ! isset($_SESSION[‘userid’])) header(‘location:index.php’);
C’est dommage, car le site est vraiment pas mal en soit, beaucoup de contrôle …
Mais sur ce point là, je trouve que ça transforme un tracker privé en tracker publique …
Et je trouve dommage d’incriminé un simple utilisateur, même s’il a d’une certaine façon sa part de responsabilité.
Pour moi la responsabilité de ce genre de faille vient de plus haut …
Lool,
Faudrait juste essayer de comprendre ce que vous faîtes, les liens que vous avez récupérés proviennent de flux rss donc pas étonnant que vous arriviez a télécharger avec ces liens et ceci est valable pour l’ensemble des tracker qui propose des flux RSS, y compris avec T411, la faute en revient aux membres qui ont laissés fuiter leurs accès, ils auraient mis sur google leur Login et Moit de Passe que cela aurait été pareil :D
Sauf qu’il ne s’agit ici nullement d’un login / mot de passe.
Du reste, je te laisse lire ma réponse au précédent commentaire.
Que Google indexe des liens, je n’ai pas de problème avec ça.
Tant que ça ne permet pas d’accéder aux IP des utilisateurs.
Mais qu’à l’ouverture de ces liens, il n’y a aucun contrôle sur l’authentification de l’utilisateur.
Que ça génère un .torrent, et que le .torrent fonctionne … là pour moi ça devient problématique.
T411 ne permet pas d’exploiter ses .torrent en étant anonyme ou déconnecté.
Le seul tracker indiqué dans ses .torrent est le sien, via lequel il gère le ratio, et teste l’identification.
Absolument tous les flux rss des trackers fonctionnent comme cela, le passkey est présent dans l’url c’est ce qui permet l’authentification, le passkey est unique à chaque membre et google ne peut pas le référencer à moins de copier coller ton flux rss sur un site web public, réessaye ta manip tu verra que les admin de Xthor ont réinitialisé ton passkey cela ne fonctionne plus ;) et comme par hasard il y a avait que ton passkey présent dans les résultat de google, donc à l’avenir ne copie plus d’url venant d’un tracker sur le web ou n’importe qui pourra dl avec ton compte :p
Bonjour Jaja,
« Mon Passkey » ;) pour cela faudrait-il que j’ai un compte à moi chez Xthor ;)
Bonne journée ^^
« Ce tracker est vraiment classe, un design soigné, des téléchargements rapides …
Bref, on voit que les mecs derrière ce site, se sont vraiment fait plaisir, et se sont donné du mal pour notre bien ! »
T’a pas de compte ? lol
De toute façon que ça soit toi ou pas c’est pas le problème, quelqu’un a mis son flux rss sur le net et avec n’importe quel tk si on met son flux rss perso contenant son passkey sur le web, google enregistre les liens et les référence dans son moteur de recherche, je répète mais ça fonctionne comme cela sur tous les tk pour le flux rss !
Savais-tu qu’il était possible de consulter des captures d’écran xthor sur Google Images ?
j’entends bien ce que tu veux me dire, cependant en qualité de développeur, je sais qu’il est possible d’effectuer un contrôle de la session qui serait complémentaire au « token utilisateur » (qui est sûrement utile pour faire de l’analyse de logs, mais inutile pour protéger des liens ^^)
Maintenant je trouve ce genre de conversation assez puéril et non constructif, à moins que tu sois admin où développeur chez Xthor … Ça ressemble plus à du « touche pas à mon site … «
jaja n’est pas dans le staff de xthor (et moi non plus).
Le but du lien RSS c’est qu’il soit utilisable directement dans client torrent sans aucune authentification, donc mettre en place une authentification ou autre vérification qui regarderait d’ou est appeler la page serait complètement contraire a l’utilisation de celui-ci… Tous les trackers qui proposent un autoget autoDL par RSS font comme ça, ce n’est pas pour rien.
T411 ne propose pas d’autoget, ni d’autoDL, normal qu’il ne soit pas impacté par le problème.
Pour ce qui est des images hébergées sur xthor, c’est simplement que la personne qui a uploadé l’image sur xthor a réutilisé le lien sur d’autres sites… Donc ce n’est pas non plus une faille, mais pourrait être amélioré.
De toute façon, un lien RSS rendu public n’a pas une grande durée de vie, car le compte va finir par être suspendu (ou passkey changer) pour partage de compte ou pour ratio trop faible… De plus, ça ne permet pas d’avoir accès a la totalité du site, car tu ne peux pas connaitre l’id de tous les torrents, mais permet l’accès que aux 20 derniers torrents du flux RSS.
Je t’invite a te renseigner sur le fonctionnement des autoget via RSS, je pense que si tu trouves sur solution l’admin sera surement ravi de les appliquer apporteurs. Mais celle que tu as proposée n’est pas faisable tout en maintenant le fonctionnel voulu.
Bonjour Tom,
Surement le message le plus constructif & instructif sur cette page ;)
Je conçois que ma solution est radicale, et complexe à mettre en oeuvre, je ne donne pas ici de solution, je montre simplement du doigt un problème.
J’estime que si je vais sur un tracker « privé », je n’ai pas envie que les torrents que j’utilise soit exploité par des personnes externes au site :/
Comme dit et déja dit n’importe quel tracker qui propose des lien RSS fonctionne sur le même principe, c’est le passkey qui fait office d’authentification et je ne pense pas que tu ai les arguments suffisant pour faire changer ce principe utilisé par des centaines de tracker :D
Le_Putoi, j’ai bien compris ton message … en effet, vous avez été plusieurs à répéter la même chose … formation sur CCM j’imagine ;)
Je ne conteste pas le fait que ça soit utilisé. Je conteste l’appellation « privé » qui est donnée à ce tracker.
Et je n’ai aucun doute, que sur des centaines de trackers qui ont ce fonctionnement, des centaines d’utilisateurs aiment montrer leurs jolies petites fesses roses à l’ensemble de la planète …
à toi de voir quelle définition tu attribues à un tracker « privé ».
Ton article ne fait qu’expliquer comment fonctionne un flux rss autoget, fonctionnement qui est commun à tous les trackers.
Oui une passkey a été dévoilé, oui à un moment donné des personnes ont pu l’utiliser pour télécharger des torrent, ça ne démontre pas que xthor n’est pas sécurisé et qu’il y a un risque.
Concernant le reste de ton propos, actuellement google ne retourne plus rien et la passkey de l’utilisateur a été depuis longtemps désactivé.
Ta proposition de session ne tient pas, elle impliquerait de pouvoir t’authentifier sur un client torrent et de pouvoir utiliser un cookie/variable de session, c’est bien beau de faire de propositions encore faut-il qu’elles soient réalistes.
Le fait de laisser ton article en l’état n’est que du FUD et n’apporte pas grand chose ( à part des visites sur ton site)
salut tlm j’ai des invitation pour un site torrent bien organiser sous le nom de : space torrent regarder par vous même le site ;)
j’ai change mon invitation contre celui qui y a une invitation sur xthor.bz
ou un site torrent privé qui poste de très bon manga animer en VF est Vostfr
merci est a bientôt j’espère :)
nedjadi,une des regles d xthor est de ne pas partager les invit sur les forums,de plus sur xthor je te garantis que les invit sont a prix d’or,je ne te dis meme pas comme j’ai rammé pour avoir mon invit
Bonjour tch3rnobyl, mon compte a ete desactive sur Xthor
si tu as assez d’influences pourrait tu essayer de le faire re-activer,
je sait que c’est une goutte d’eau dans l’ocean, mais tant qu’il y a de la vie,il y a de l’espoir
XThor me manque beaucoup, je te remercie d’avance
Mon compte est JEyes
un avant gout des bonnes stats de l admin de xthor !
http://nsa38.casimages.com/img/2017/07/01/170701102430404583.png
++