PDA

View Full Version : Safe The-Shinning (Recheck)



Rebound
19.03.19, 16:37
Tracker: The Shinning (https://theshinning.me/)
Source: UNIT3D (https://github.com/HDInnovations/UNIT3D)

Im Rahmen unserer TOG-Reviews haben wir "The Shinning" etwas eingehender untersucht. Auch The Shinning setzt endlich mal eine Source ein die nicht aus der Nachkriegszeit stammt, nämlich die UNIT3D. Diese Source ist auf Github zu finden und wird aktiv weiterentwickelt. Der Schreibfehler bei "Shinning" (es heißt shining mit einem N) existiert immer noch.


Serversicherheit

OS: Linux, Ubuntu
Webserver: nginx
SSH: OpenSSH 7.2p2 Ubuntu 4ubuntu2.8

SSH liegt nicht auf dem Standardport. Neben nginx gibt es noch einen offenen Port für Node.js. Für die Firewall gilt das Gleiche wie bei den bisherigen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert.

Als Serverstandort wurde NL und als Hoster online.net gewählt. Ideal ist das sicherlich auch nicht da innerhalb der EU und direktes Nachbarland von Deutschland, jedoch hat sich NL in der Vergangenheit in Sachen Filesharing schon häufig als liberal gezeigt. Für einen Tracker dieser Größe sollte der Standort deshalb ausreichen. Besser wäre natürlich trotzdem eine größere Entfernung - am besten außerhalb des Gültigkeitbereichs der EU.
Ansonsten macht der Server einen soliden Eindruck. Da haben wir schon deutlich schlimmeres gesehen.


Trackersicherheit

Im Vergleich zum letzten Review von The Shinning wird dies ein sehr kurzer Abschnitt. Die UNIT3D-Source ist Open-Source und wird schon länger auf Github aktiv entwickelt. Es gibt zahlreiche Sicherheitsfeatures und der Sourcecode kann von jedem eingesehen werden. Wir haben ein paar Überprüfungen vorgenommen, konnten aber wie erwartet nichts finden.


Fazit

Um ein Debakel wie bei dem letzten Security-Review zu verhindern, hat sich hier offenbar jemand Gedanken gemacht und entsprechend seiner technischen Kenntnisse eine passende Source ausgewählt.
Zwar befindet sich die Source in einem ziemlich langweiligen Standardzustand und die deutschen Übersetzungen sind grauenhaft, aber die Source ist vernünftig abgesichert und bietet so den Benutzern einen sicheren Hafen. Lobend erwähnen kann man außerdem, dass sich die Betreiber trotz erheblicher Differenzen bei dem letzten Review (https://www.sb-innovation.de/showthread.php?32325-The-Shinning) bei uns gemeldet haben und deutliches Interesse an einem erneuten Review signalisiert haben. Das ist eine sehr erfreuliche Entwicklung und umso mehr freut es uns, an dieser Stelle ein Safe vergeben zu können.
Negativ aufgefallen ist uns die schlechte Performance der Seite. Ob das an UNIT3D oder der Serverkonfiguration liegt, haben wir nicht näher untersucht.
Wenn man ganz genau sein will, könnte man noch kritisieren, dass hier gegen die GNU v3.0 Lizenz verstoßen wurde, da die Lizenzinformationen aus dem Footer entfernt wurden. Aber das dürfte wohl nun wirklich niemanden ernsthaft interessieren. :P



https://www.sb-innovation.de/attachment.php?attachmentid=15433

treter
23.03.19, 11:31
Hallo,

Alleine da dieser Thread weiter unten ist als der erste "Check" ist mir bei dem ganzen BC debakel das herz in die Hose gerutscht und habe mit halbem Auge nur geschaut ob "mein Tracker" Safe ist oder nicht :).

Daher fungiert dieser Post mehr zum "Highlighten" des richtigen und aktuellen Threads und um hervorzuheben dass dieser Tracker nach euren Recherchen auch wirklich SAFE ist :).

Im Zuge dessen möchte ich dir, Rebound, auch noch einmal für deine Arbeit im Namen aller "Ladewütigen Menschen" danken!

Grüße
treter

F1r3st0rm
09.06.19, 17:06
Sie haben mal wieder die Registrierung offen. Meiner Meinung nach ein absolutes No-Go. Soll sich also jeder selbst überlegen, ob er das Risiko eingeht. Weil momentan kommt wirklich jeder auf den Tracker.

Daden
09.06.19, 18:32
Wenn du willst kommst auf jeden Tracker ganz einfach drauf.

Rebound
09.06.19, 18:50
Ist halt die einfachste Möglichkeit, um die Userzahl zu erhöhen und von der The Resurrection Schließung zu profitieren. Da ist die Sicherheit plötzlich nicht mehr so wichtig.

themagic
12.06.19, 00:01
Apropos The Resurrection. Ich war seit der DTW-Schliessung dort und völlig überrascht vom plötzlichen Ende.
Es gab kein offizielles Statement, plötzlich war die Seite offline. Dank Tarnkappe.info habe ich heute in einem Kommentar erfahren, dass es aus ist und zwar für immer.
Kann mir jemand erklären, warum das so gekommen ist? (Ich habe leider schon länger keinen Gods Account mehr)

Durch den Vorfall habe ich auch keine Screenshots meiner vorbildlichen Stats. ### GELÖSCHT ###

themagic
12.06.19, 20:21
Ups, grosses Sorry, Instab.:shy:

Data1
13.07.19, 21:31
Schade, dass die Betreibe verantwortungslos handeln. Das "Safe" sollte meiner Meinung nach wieder entfernt, "entzogen" werden.
Bedauerlich, dass sich dieser Tracker als unsicher erwiesen hat wegen der ständig offenen Reg. Safe ist für mich etwas anderes.
Ich würde mich dort nicht registrieren da dieses unüberlegte Vorgehen ein Sicherheitsrisiko ist/ darstellt.
Ist meine Meinung, aber es ist natürlich jedem selbst überlassen.

Rebound
13.07.19, 21:48
Wir bewerten hier in erster Linie die technische Sicherheit und aus dieser Perspektive war der Tracker zum Zeitpunkt unseres Reviews sicher. Dass eine offene Registrierung nicht unbedingt zur Sicherheit beiträgt und die Gefahr von Abmahnungen erhöht oder anderen böswilligen Personen Tür und Tor öffnet, sollte klar sein.
Wenn die Registrierung zum Zeitpunkt des Reviews offen sein sollte, wird sowas natürlich auch im Review thematisiert. Aber ein bisschen Eigenverantwortung oder Selbsteinschätzung der Lage, darf man ruhig dem Nutzer überlassen. ;)

Data1
13.07.19, 22:10
Aber ein bisschen Eigenverantwortung oder Selbsteinschätzung der Lage, darf man ruhig dem Nutzer überlassen. ;)

Wie gesagt: "Ist meine Meinung, aber es ist natürlich jedem selbst überlassen."

corregidor
06.10.19, 19:46
Ist "theshinning" weg?

Flux
07.10.19, 08:14
nein hast wohl nur die falsche URL
versuch mal anstatt .org
.me zu nehmen am ende der url

corregidor
08.10.19, 05:42
Ok - die Adresse stimmt, aber irgendwie kennt der mich nicht mehr ?

TSHteam
08.10.19, 10:18
Dann schick mir mal dein alten nick per pn