PDA

View Full Version : Safe Torrent Trader (Recheck)



Rebound
27.03.19, 20:35
Tracker: Torrent Trader (https://torrent-trader.eu)
Source: N/A

Im Rahmen unserer TOG-Reviews war Torrent Trader durchgefallen. Bereits vor dem ersten Review hatte uns der Staff von Torrent Trader kontaktiert und nach einer Einschätzung der Sicherheit gefragt. Wir hatten dort bereits durchblicken lassen, dass die Source Sicherheitsmängel aufweist. Bis zum offiziellen Security-Review hat der Staff diese Mängel allerdings nicht beseitigt. Es fiel dann logischerweise negativ aus.
Statt die Lücken zu suchen und zu beseitigen, hat sich der Staff dazu entschlossen mit einer neuen Source an den Start zu gehen. Ob sich die Sicherheit verbessert hat, erfahrt hier nun hier.


Serversicherheit

Da Cloudflare benutzt wird, können wir zum Server leider nicht viel sagen. Bis auf den Serverstandort war der Server beim letzten Review auch soweit in Ordnung. Es gab jedenfalls schon deutlich schlimmere Fälle. Deshalb kann man auch hier davon ausgehen, dass sich die Serversicherheit zumindest nicht verschlechtert hat.
Bei Cloudflare gilt immer die Frage der Notwendigkeit. Wenn man keinen massiven DDoS-Angriffen ausgesetzt ist, sollte man auf Cloudflare verzichten. Es gibt keinen Grund, die (sensiblen) Daten durch ein amerikanisches Unternehmen leiten zu lassen.


Trackersicherheit

Hier haben erhebliche Verbesserungen im Vergleich zur Source davor stattgefunden. Dies dürfte hauptsächlich am Wechsel der Source liegen. Geht man nach der Optik, wird hier die gleiche Source wie bei WoT eingesetzt, welche von uns bereits in der Vergangenheit als sicher eingestuft wurde. Bis auf ein paar Bugs haben wir nichts Sicherheitskritisches finden können. Die Bugs haben wir selbstverständlich ordnungsgemäß an den Staff weitergeleitet. :wink:


Fazit

Nach Veröffentlichung des Security-Reviews haben die Verantwortlichen reagiert. Die schlechte Publicity hätte man allerdings auch vermeiden können. Nun ist man den steinigen Weg gegangen, aber das Ergebnis ist trotzdem gut. Durch die neue Source gibt es keine Sicherheitsmängel mehr und Torrent Trader, bzw. die neue Source erhält ein Safe von uns. Wieso einfach, wenn's auch kompliziert geht? :P



https://www.sb-innovation.de/attachment.php?attachmentid=15433

001100010011100100
27.03.19, 23:25
Warum sagst Du mal soll auf Cloudflare verzichten ?? Ihr benutzt doch selber Cloudflare (Direct IP access not allowed | )??!! Ich finde diesen service sehr gut und auch sicher;)

Rebound
27.03.19, 23:41
Probiers noch mal mit richtig lesen und verstehen.

001100010011100100
27.03.19, 23:51
Habe ich JA ... Aber ich kann da nix Aussagekräftiges finden !! Okay Cloudflare hindert dich daran auf die Server zu schauen und das ist auch so gewollt :) Und der Service ist auch gut gegen Scriptkiddis ;)

Rebound
28.03.19, 00:05
Habe ich JA ... Aber ich kann da nix Aussagekräftiges finden !! Okay Cloudflare hindert dich daran auf die Server zu schauen und das ist auch so gewollt :) Und der Service ist auch gut gegen Scriptkiddis ;)

In den meisten Fällen würde uns Cloudflare nicht daran hindern. Dafür wird bei den meisten Trackern viel zu unsauber gearbeitet. Das hat das erste Review zu dem Tracker ja auch deutlich gezeigt. Wir haben nur einfach keine Zeit und auch keine Lust in unserer Freizeit zusätzliche Energie zu investieren die richtige IP-Adresse herauszufinden.

Das erste Problem mit Cloudflare ist, dass du alle Daten die zum und vom Tracker gesendet werden, über die Cloudflare-Server leitest. Cloudflare ist ein amerikanisches Unternehmen. Die Amerikaner arbeiten prima mit den deutschen Behörden zusammen und sind was Urheberrecht angeht auch nicht gerade zimperlich. Nicht umsonst ist die USA als Serverlocation für P2P ungeeignet.
Das zweite Problem betrifft die Kontrolle. Du gibst Kontrolle an ein Unternehmen, was einen kostenlosen Service anbietet. Der Haken: Es gibt auf der Welt nichts kostenlos. Du bezahlst den Dienst also mit den Daten der Trackerbenutzer. Also in deinem Fall wahrscheinlich deinen Trackerbenutzern (klingt jedenfalls so).
Das dritte Problem: Cloudflare hebelt SSL aus. Da nützt dir die beste verschlüsselte Verbindung nichts, wenn Cloudflare alles mitlesen kann.

Deshalb sollte man Cloudflare wirklich nur im absoluten Notfall verwenden (z. B. bei massiven DDoS-Angriffen). Gegen Hacker und Scriptkiddies nützt Cloudflare absolut gar nichts. Wenn ein Tracker Cloudflare grundlos einsetzt, dann zeugt das von großem Unwissen und Naivität.

Wir nutzen Cloudflare, weil wir ein häufiges Angriffsziel sind. Torrent Trader ist so winzig, da kann mir keiner erzählen Cloudflare wäre notwendig. Es ist nur eine bequeme Option um den Server vor uns zu verstecken. Und wer schon so viel Angst vor uns hat, der sollte dann doch lieber keinen Tracker betreiben. :P

001100010011100100
28.03.19, 00:30
Hmm ... Hast du nicht geschrieben lesen und verstehen ???

Cloudflare schloss sich 2013 dem von Mozilla initiierten Aufruf für mehr Transparenz beim Abfragen von Nutzerdaten durch die US-Regierung („The Internet Sector calls for Greater Transparency in Requests for User Data“) an, der in StopWatching.Us, einem offenen Brief an den Kongress der Vereinigten Staaten, aufging.[15]

Seit dem 29. September 2014 bietet Cloudflare allen Kunden eine kostenfreie SSL-Verschlüsselung unter dem Namen Universal SSL an, welche mittels Server Name Indication realisiert wird.

Evtl. mal vor die Tür gehen wir haben Jahr 2019 !!!

Rebound
28.03.19, 00:37
Ok. Ich sehe schon. Mit sachlichen Fakten kommt man bei dir nicht weiter. Du willst entweder trollen oder weißt es tatsächlich nicht besser. Hier zum Lesen: https://de.wikipedia.org/wiki/Transport_Layer_Security#Funktionsweise.

Wenn du den Artikel gelesen und verstanden hast, erkennst du hoffentlich auch, wieso dein Beitrag Null Komma Null Sinn ergibt. :P

Normalerweise hätte ich es ja auch freundlich erklärt, aber wenn du auf die Tour kommst, spare ich mir ab sofort jeden weiteren Beitrag.

001100010011100100
28.03.19, 00:48
Hmm warum denn gleich so Überreagieren. Bin doch sachlich geblieben :confused:

Aber wenn Cloudflare in deinen Augen nix taugt warum denn dieses hier:.

In einem Bericht der Europäischen Kommission[32] wird dem Unternehmen vorgeworfen, nicht genug gegen Urheberrechtsverletzungen auf dessen Plattform zu unternehmen. Demnach schätzt der Bericht, dass Cloudflare von ca. 40 % aller Websites genutzt wird, die illegal urheberrechtlich geschütztes Material anbieten. Von den 500 urheberrechtsverletzenden Domains mit den meisten Besuchern, nach Alexa Rank, sind es 62 %. Die Reaktion seitens Cloudflare, auf Anfragen bezüglich der Urheberrechtsverletzungen, wird weiter als unzureichend eingestuft.

Und wo hebeln die das SSL aus ??

Reverse Proxy
Eine Schlüsselfunktion von Cloudflare ist der Reverse Proxy für Webdatenverkehr. Cloudflare unterstützt neue Webprotokolle, einschließlich SPDY und HTTP/2. Darüber hinaus bietet Cloudflare Unterstützung für HTTP/2 Server Push. Cloudflare unterstützt zudem Proxy-Vorgänge für Websockets.

Seit Mitte 2018 hostet Cloudflare die Server für Mozilla zur Bereitstellung des Services DNS over HTTPS (DoH). Hierbei wurden strikte Datenschutz-Vereinbarungen getroffen

Als kleine Anmerkung noch: Ohne Account (die euch leider unwissende User zu Verfügung stellen) auf den TRacker(s) würdet ihr auch nur vor verschlosssen Türen stehen.

Rebound
28.03.19, 00:54
Dass es nichts taugt habe ich nicht gesagt. Ich habe gesagt man sollte es nur im absoluten Notfall verwenden.

https://torrentfreak.com/cloudflare-is-liable-for-pirate-sites-and-has-no-safe-harbor-publisher-says-180201/
https://torrentfreak.com/cloudflare-ordered-to-expose-yts-showbox-and-popcorn-time-site-operators-180919/

SSL "aushebeln" ist vielleicht die falsche Wortwahl gewesen. Klar hat Cloudflare SSL. Aber du baust die verschlüsselte Verbindung ja zu Cloudflare auf. Also kann Cloudflare natürlich auch alles lesen. Erst danach wird es an den Server dahinter weitergeleitet. Das kann sogar komplett unverschlüsselt passieren, wenn Cloudflare nicht entsprechend konfiguriert ist.

Cloudflare ist also nicht nur ein Schutz, sondern auch eine Gefahr. Und ich wiederhole mich gerne noch mal. Wenn man nicht unter Angriffen steht, gibt es wirklich keinen Grund diese Datenkrake zu verwenden. Cloudflare kann man mittlerweile problemlos neben Google und Facebook einordnen.

001100010011100100
28.03.19, 01:13
zum Link 1 Die Klage ist für Cloudflare von entscheidender Bedeutung, nicht nur wegen der potenziellen Schäden, die in diesem Fall auftreten. Wenn Cloudflare verliert, werden andere Rechteinhaber wahrscheinlich ähnliche Forderungen stellen, wodurch das Unternehmen gezwungen wird, potenzielle Piratenseiten aktiv zu überwachen.
Cloudflare wird den Ansprüchen von ALS in einer zukünftigen Einreichung zweifellos widersprechen.Dieser Fall ist also noch lange nicht abgeschlossen.
[/COLOR]
zum Link 2 Bei einigen weiteren Grabungen wurde festgestellt, dass Cloudflare keinen Antrag auf nicht Tilgung gestellt hatte. Es ist daher wahrscheinlich, dass die angeforderten Informationen nicht übergeben werden.

Die Vorladung selbst sagt jedoch nichts über die Absichten der Filmfirmen aus.

Die anvisierten Websites sind nicht in der ursprünglichen Klage aufgeführt, aber es besteht die Möglichkeit, dass die Eigentümer mit den Beklagten in Verbindung stehen. In jedem Fall ist es klar, dass die Film-Outfits die Informationen als potenziell wertvolle Beweise in ihrem Rechtsstreit ansehen.

Es bleibt natürlich die Frage, ob die von Cloudflare gespeicherten Informationen von Nutzen sein werden. Viele Betreiber von Piratenseiten und -diensten tun ihr Bestes, um die wahren Betreiber vor der Entdeckung zu schützen.

Also habe das mal für dich übersetzt und ein FAZIT zusammengestellt.

Rebound
28.03.19, 01:16
Ok, also doch ein Troll. Bin raus hier. :D

001100010011100100
28.03.19, 01:22
Naja deine Reaktion sagt ja alles. Jetzt bin ich ein sogenannter Troll. Sehr Erwachsen :stupid: