Results 1 to 9 of 9

Thread: Tempel

  1. #1
    Moderator Robot Territories Champion, Fish Shooter Champion, Bat & Mouse 2 Champion, Bloody Rage Champion, Hot Pepper vs The Water 3 Champion, Snowboard in switzerland Champion, New Years Night Champion, Anchovy Assault Free Play Champion, Kid Launcher Champion, Tropical Dragon Slaughter Champion
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,612
    Activity Longevity
    9/20 20/20
    Today Posts
    0/5 sssss3612

    Tempel

    Tracker: Tempel
    Source: TTT-Source

    Heute gibt es mal einen kleinen aber dafür geheimen Tracker. Er selbst nennt sich "Tempel" (Name geändert; Anm. d. Red.) und existiert angeblich seit über 13 Jahren. Die Rekrutierung läuft wohl irgendwie unter der Hand und man schreibt auf anderen Trackern User an, die man für "würdig" hält. Das ist wohl auch in etwas größerem Stil im Zuge der TOG-Schließung passiert.

    Wir haben von dem Tracker bis dato jedenfalls noch nie etwas gehört und waren natürlich schon neugierig, was sich dahinter verbirgt. Die Betreiber haben sich bei uns für ein Review gemeldet, allerdings dann versäumt, uns einen Account für ein Review zur Verfügung zu stellen. Da wir zwischenzeitlich von mehreren Benutzern Anfragen für diesen Tracker hatten, haben wir uns dann woanders einen Account organisiert. Dieser wurde mittlerweile vom Staff gesperrt, was wir ehrlich gesagt ziemlich daneben finden. Wir haben unseren Teil der Abmachung erfüllt, der Tracker allerdings nicht. Nun wird dafür noch ein Benutzer bestraft, der von einer unabhängigen Instanz nur wissen wollte, ob der Tracker als sicher eingestuft werden kann.

    Trotzdem respektieren wir den Wunsch der Betreiber nach Anonymität und versuchen, in diesem Review so wenig wie möglich über den Tracker selber zu schreiben.


    Serversicherheit

    OS: Linux, Debian 7
    Webserver: lighttpd
    SSH: OpenSSH 6.0p1 Debian 4+deb7u7

    Der Tracker selber brüstet sich damit, dass er Cloudflare verwendet, was angeblich ein Sicherheitsmerkmal sein soll. Dazu ein Zitat vom Tracker zu dem Thema (inzwischen entfernt?).

    27.03.2019 - 14:21 Uhr von Tempel
    Bastelstunde (SICHERHEIT) aufen Tempel

    Wie einige bestimmt bemerkt haben war der Tempel die letzte Woche nicht immer zu 100% erreichbar. Dieses lag an einigen Wartungsarbeiten welche die Sicherheit und anonymität der Seite verbessern sollten.

    Wir haben den anonymisierungsdienst Cloudflare vor den Backendserver geschaltet. Das bedeutet das sowohl die IP und auch der Standort des Backendservers verschleiert werden und es eigentlich unmöglich ist diese zu ermitteln. Cloudfare wechselt regelmässig das Land wie auch die IP und leitet alle Anfragen über ihre Server weiter an unseren!. Unser Server ist so nicht mehr zu sehen, weder Serverstandort noch Server IP. Dises verfahren wird eigentlich von allen grossen Trackern verwendet (zB auch GODS).
    Hier liegt erst mal ein grundlegendes Missverständnis von Cloudflare vor und was dieser Dienst überhaupt ist. Cloudflare hat mit Sicherheit erst mal gar nichts zu tun. Angesprochen auf dieses Zitat, hat uns der Betreiber mitgeteilt, dass "Cloudflare von den Benutzern gefordert wurde" und es deshalb eingesetzt wird. Sollte dies tatsächlich der Wahrheit entsprechen, wirft dies kein gutes Licht auf die Verantwortlichen. In solch einem Fall wäre Aufklärungsarbeit angesagt gewesen.

    Um den Gegenbeweis anzutreten, haben wir uns hier also mal die Mühe gemacht Cloudflare auszuhebeln und uns die tatsächliche IP-Adresse des Servers besorgt.
    SSH liegt nicht auf dem Standardport und neben dem Webserver gibt es sonst auch keinerlei offene Ports.

    Der einzige aber offensichtliche Kritikpunkt hier ist die Version des Betriebssystems. Debian 7 ist im Mai 2018 endgültig ausgelaufen. Das bedeutet nicht zwangsläufig, dass es zum jetzigen Zeitpunkt Sicherheitsprobleme gibt, spricht aber nicht für gute Pflege des Servers.

    Für die Firewall gilt leider das Gleiche wie bei den bisherigen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert.

    Erwähnen muss man an dieser Stelle noch den Serverstandort OVH in Frankreich. Als direktes Nachbarland und mit guten bilateralen Beziehungen zwischen Frankreich und Deutschland, ist der Standort kaum sicherer als Deutschland selber. Zudem hat sich OVH als Hoster für Tracker in der Vergangenheit nicht besonders bewährt.


    Trackersicherheit

    Die hier verwendete TTT-Source ist solide und wir konnten keine Sicherheitsprobleme finden. Auch bei bisherigen Reviews ist die TTT-Source bei uns noch nicht negativ in Erscheinung getreten.


    Fazit

    Man erkennt bei "Tempel", dass Anonymität und Sicherheit einen verhältnismäßig hohen Stellenwert haben. In der Umsetzung tun sich aber ein paar Schönheitsfehler auf, durch zum einen Cloudflare und zum anderen die veraltete Serverinstallation.
    Die Source ist - wie von einer TTT-Source eigentlich nicht anders zu erwarten - gut gepflegt und bietet keine Schwachstellen. Auch der Server ist, wie schon erwähnt, trotz des alten Betriebssystems nicht automatisch ein Sicherheitsproblem. Daher gibt es aus technischer Sicht ein "Safe".
    Das etwas merkwürdige Verhalten seitens des Personals von "Tempel", wirft ein paar Fragen auf. Da wir aber keine näheren Informationen haben wie es zu den erwähnten Ereignissen kam, wären weiterführende Erklärungen an dieser Stelle wünschenswert.




    Reply With QuoteReply With Quote
    Thanks

  2. Who Said Thanks:

    Replaymax (18.04.19) , Rednesierder (17.04.19) , opeter (16.04.19) , trackeropi2 (15.04.19) , matrix2003 (15.04.19) , Snitlev (15.04.19) , ExGod (15.04.19) , waffi (15.04.19) , FlyingHeart (15.04.19) , Violence (15.04.19) , uk501 (14.04.19) , 4n0nym0u5 (14.04.19)

  3. #2
    Bit-Titan Staff
    Join Date
    20.08.18
    Location
    Cybertron
    P2P Client
    rtorrent
    Posts
    7
    Activity Longevity
    6/20 1/20
    Today Posts
    1/5 ssssssss7
    Ohne dir jetzt rein reden zu wollen kann ich den Punkt mit dem User Account nicht nachvollziehen.

    Der User hat seine Account Daten an eine dritte Person weiter gegeben, er hat gegen die erste Regel dieses Trackers verstoßen und wurde laut Regelwerk dementsprechend entsorgt. Der User ist aus meiner Sicht selbst schuld das er gekickt wurde. Verstehe mich bitte nicht falsch aber Regeln sind Regeln und wer dagegen verstößt MUSS aussortiert werden.

    Ich schreibe das nicht weil ich dort die Technik "Pfege" oder jemanden in Schutz nehmen möchte. Hier geht es mir alleine ums Prinzip und um die Regeln die dort herrschen.

    mfg
    Last edited by PRIME; 15.04.19 at 00:22.
    Reply With QuoteReply With Quote
    Thanks

  4. Who Said Thanks:

    Rednesierder (17.04.19) , uk501 (15.04.19)

  5. #3
    Moderator Robot Territories Champion, Fish Shooter Champion, Bat & Mouse 2 Champion, Bloody Rage Champion, Hot Pepper vs The Water 3 Champion, Snowboard in switzerland Champion, New Years Night Champion, Anchovy Assault Free Play Champion, Kid Launcher Champion, Tropical Dragon Slaughter Champion
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,612
    Activity Longevity
    9/20 20/20
    Today Posts
    0/5 sssss3612
    Ja mag sein. Ist allerdings an Doppelmoral einfach nicht mehr zu überbieten, wenn freiwillig sämtliche Daten der Benutzer durch Cloudflare geschleift werden und man dann wegen einer einzigen Person so einen Aufriss macht. Trägt nicht wirklich zur Glaubwürdigkeit bei.
    Zumal ich sowas auch nicht als Weitergabe bezeichnen würde. Der Account geht ja nicht in unseren Besitz über und wird nur für temporäre Tests verwendet. Wirkt von Außen deshalb eher, als müsste da jemand seine Macht ausspielen, anstatt sich um die wirklich wichtigen Dinge zu kümmern.
    Viele Benutzer wenden sich auch erst mal an uns weil sie wissen wollen, ob sie von einem Tracker mit gutem Gewissen etwas herunterladen können. Finde ich deshalb absolut legitim und eure Reaktion völlig überzogen. Zumal ihr ja sogar selbst ein Review angestrebt habt, aber dann scheinbar doch kalte Füße bekommen habt oder zumindest die Erstellung eines Accounts künstlich verzögert habt.


    Reply With QuoteReply With Quote
    Thanks

  6. Who Said Thanks:

    Rednesierder (17.04.19) , AnneDecke (16.04.19) , trackeropi2 (15.04.19) , matrix2003 (15.04.19) , Snitlev (15.04.19) , PRIME (15.04.19)

  7. #4
    Bit-Titan Staff
    Join Date
    20.08.18
    Location
    Cybertron
    P2P Client
    rtorrent
    Posts
    7
    Activity Longevity
    6/20 1/20
    Today Posts
    1/5 ssssssss7
    Ob der Account nur als Test Temp benutzt wurde spielt keine Rolle. Fakt ist: Der Account wurde von einer dritten nicht autorisierten Person verwendet. Der User war sich dieser Regel bewusst und hat sich dennoch nicht an diese Regel gehalten. Das muss Konsequenzen haben sonst kann man sich doch auch die Regeln sparen.

    Cloudflare wurde soweit ich weiß korrigiert. Ein solcher Dienst dient nicht zur Verschleierung einer Server IP. Viele Tracker nutzen es und viele Admins vertreten leider wirklich die Meinung daß es den echten Server so verschleiert. Hier wurde der Betreiber jetzt aufgeklärt und er hat seine News dementsprechend korrigiert.

    Ob nun Überheblichkeit oder Macht Wahn, darüber lässt sich streiten. Ich sehe es eher als Konsequentes Durchsetzen der Regeln.

    Die Entscheidung dort trifft alleine der Betreiber, nicht ich. Meine Aufgabe dort ist alleine die Technik und bis auf die alte Gurke (Server) die wirklich überfällig ist haste ja auch nichts daran auszusetzen gehabt.

    Wenn sich User an euch wenden gut und schön aber derjenige muss wissen das er sein Account riskiert. Ich hoffe das ihr auch so Fair seit und es dem User auch genau so vermittelt.

    Darf ich fragen warum du den zuvor extra angelegten Account nicht genutzt hast? Immerhin habt ihr doch miteinander kommuniziert.

    Mfg.
    Reply With QuoteReply With Quote
    Thanks

  8. Who Said Thanks:

    Rednesierder (17.04.19)

  9. #5
    Moderator Robot Territories Champion, Fish Shooter Champion, Bat & Mouse 2 Champion, Bloody Rage Champion, Hot Pepper vs The Water 3 Champion, Snowboard in switzerland Champion, New Years Night Champion, Anchovy Assault Free Play Champion, Kid Launcher Champion, Tropical Dragon Slaughter Champion
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,612
    Activity Longevity
    9/20 20/20
    Today Posts
    0/5 sssss3612
    Quote Originally Posted by PRIME View Post
    Darf ich fragen warum du den zuvor extra angelegten Account nicht genutzt hast? Immerhin habt ihr doch miteinander kommuniziert.
    Ich kann keinen Account nutzen, den ich nie erhalten habe. Du musst mal richtig lesen was ich geschrieben habe.

    Dass mit der Abschaltung von Cloudflare begrüße ich selbstverständlich und ist auf jeden Fall der richtige Schritt gewesen. Allerdings müssen auch die User aufgeklärt werden, nicht nur der Betreiber. Diese haben diesen Dienst laut Aussage des Betreibers vehement gefordert.

    Des Weiteren ist es außerdem äußerst fragwürdig, woher ihr von der Weitergabe überhaupt wusstet. Das könnt ihr nur von mir gewusst haben. Also war der Grund der Sperre ein völlig anderer und hier wird nun versucht eine passende Rechtfertigung zu konstruieren. Seriösität ist wirklich was anderes.


    Reply With QuoteReply With Quote
    Thanks

  10. Who Said Thanks:

    Rednesierder (17.04.19) , trackeropi2 (15.04.19) , Snitlev (15.04.19) , matrix2003 (15.04.19) , PRIME (15.04.19)

  11. #6
    Bit-Titan Staff
    Join Date
    20.08.18
    Location
    Cybertron
    P2P Client
    rtorrent
    Posts
    7
    Activity Longevity
    6/20 1/20
    Today Posts
    1/5 ssssssss7
    Da bin ich aber anders informiert. Ist aber auch egal jetzt da das Thema durch ist. Der Account bleibt geschlossen, daran wird sich auch nichts mehr ändern.

    Selbstverständlich müssen die User aufgeklärt werden was das betrifft, allerdings muss das auf fast jeden 2 Tracker passieren und nicht nur dort. Du könntest es zb auch in jedem Review erwähnen damit hier keiner Dumm sterben muss. Nur zusammen klärt man richtig auf :)

    Die Logs haben einen verraten nicht fremde Mächte. Gerade auf solchen kleinen Projekten wird jeder neue User 5 Mal begutachtet.

    Sorry für die ganzen edit..tippel mit dem Handy..hab Erbarmen^^

    Mfg
    Last edited by PRIME; 15.04.19 at 01:45.
    Reply With QuoteReply With Quote
    Thanks

  12. #7
    Moderator Robot Territories Champion, Fish Shooter Champion, Bat & Mouse 2 Champion, Bloody Rage Champion, Hot Pepper vs The Water 3 Champion, Snowboard in switzerland Champion, New Years Night Champion, Anchovy Assault Free Play Champion, Kid Launcher Champion, Tropical Dragon Slaughter Champion
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,612
    Activity Longevity
    9/20 20/20
    Today Posts
    0/5 sssss3612
    Quote Originally Posted by PRIME View Post
    Da bin ich aber anders informiert.
    Wenn deine Quelle die gleiche Person ist die dachte Cloudflare ist eine gute Sache, dürfte es wohl mit der Glaubwürdigkeit ebenfalls nicht weit sein. Ich verbitte mir hier außerdem solche unterschwelligen Anschuldigungen. Wir führen unsere Reviews immer nach bestem Wissen und Gewissen durch. Fakt ist, wir haben keinen Account für eine Prüfung erhalten, obwohl es eine Security-Review Anfrage gab. Das Eine funktioniert nun mal nicht ohne das Andere. Hier nun irgendwelche Dritten für mangelnde Kommunikationsfähigkeiten zu bestrafen, ist unwürdig und unseriös. Man könnte auch sagen, ihr habt unsere wertvolle Zeit verschwendet. Trotzdem haben wir uns die Zeit für ein objektives Review genommen und sind unserer Pflicht nachgekommen. Wir haben uns sogar an die geforderten Vorgaben der Verschwiegenheit gehalten. Wir haben geliefert, ihr nicht.


    Reply With QuoteReply With Quote
    Thanks

  13. Who Said Thanks:

    Nemesis (18.04.19) , trackeropi2 (15.04.19) , Snitlev (15.04.19) , PRIME (15.04.19)

  14. #8
    Bit-Titan Staff
    Join Date
    20.08.18
    Location
    Cybertron
    P2P Client
    rtorrent
    Posts
    7
    Activity Longevity
    6/20 1/20
    Today Posts
    1/5 ssssssss7
    Ich unterstelle niemanden etwas.

    Ich habe nur widergegeben was mir zugetragen wurde und habe deshalb auch gerade die Frage gestellt.

    Wie du siehst, habe ich mir beide Seiten angehört! Deine und die des Betreibers.

    Was soll der Betreiber deiner Meinung nach jetzt liefern?

    Das Ding ist durch, habt euch beide wieder lieb und gut ist...

    Mfg
    Last edited by PRIME; 15.04.19 at 02:19.
    Reply With QuoteReply With Quote
    Thanks

  15. #9
    Moderator
    Instab's Avatar
    Join Date
    17.09.09
    Posts
    6,599
    Activity Longevity
    7/20 16/20
    Today Posts
    0/5 sssss6599
    Quote Originally Posted by PRIME View Post
    Was soll der Betreiber deiner Meinung nach jetzt liefern?
    die sache mit dem lesen scheint in der tat etwas schwierig

    jetzt gibt es logischerweise nichts mehr zu liefern. der punkt war, daß wir den zugesagten testaccount nicht bekommen haben.
    fragwürdig finden wir, daß der account, den wir statt dessen benutzt haben, gesperrt wurde. er war ja lediglich der ersatz dessen, was seitens des trackers geliefert werden sollte und schon abgesprochen war.
    Your account has been disabled.
    Reply With QuoteReply With Quote
    Thanks

  16. Who Said Thanks:

    Nemesis (18.04.19) , trackeropi2 (15.04.19) , Snitlev (15.04.19) , PRIME (15.04.19)

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •