PDA

View Full Version : Safe Gocaf



Rebound
01.05.19, 21:10
Tracker: Gocaf (http://gocaf.zapto.org/)
Source: Custom NV-Source

Gocaf ist ein recht kleiner Tracker, der laut Aussage der Betreiber schon seit etwa 10 Jahren existiert. Das Team hat uns für eine Prüfung freundlicherweise einen Account zur Verfügung gestellt.
Die Bedienung des Trackers ist aufgrund der Vielzahl an Bugs und Designproblemen leider ziemlich frustrierend.


Serversicherheit

OS: Linux, Debian 9
Webserver: Apache 2.4.25
SMTP: Postfix
SSH: OpenSSH 7.4p1 Debian 10+deb9u6

Für einen Tracker ist auf dem Server ziemlich viel los. Jedenfalls mehr als los sein sollte.
SSH liegt immerhin nicht auf dem Standardport. Ein SMTP ist von aussen erreichbar, was für einen Tracker wie immer überflüssig ist. Es gibt des Weiteren SHOUTcast, einen ProFTPD und Webmin, der zumindest nicht am Standardport sitzt.
Jetzt wird es kurios: Im oberen Portbereich finden sich über 400 (!) offene Ports, die allerdings ungenutzt sind. Offenbar gibt es ein paar Probleme mit der Konfiguration der Firewall, falls überhaupt eine existiert.
Durch die ganzen Dienste bietet der Server unnötig viel Angriffsfläche für einen Tracker. Sowas sollte man lieber auf eine separate Maschine auslagern, oder wenigstens auf bestimmte IPs begrenzen.

Für die Firewall gilt das gleiche wie bei den meisten anderen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert.

Erwähnen muss man an dieser Stelle noch den Serverstandort OVH in Frankreich. Als direktes Nachbarland und mit guten bilateralen Beziehungen zwischen Frankreich und Deutschland, ist der Standort kaum sicherer als Deutschland selber. Zudem hat sich OVH als Hoster für Tracker in der Vergangenheit nicht besonders bewährt.


Trackersicherheit

Wir haben keine Sicherheitlücken finden können. Der Tracker ist mit Features allerdings auch sehr puristisch bestückt.
Zumindest kritisch hinterfragen muss man die Verwendung der externen Seite https://www.tsviewer.com/ (deutsche Seite), die direkt auf dem Tracker eingebunden ist. Sowas hat auf Trackern nichts zu suchen und erlaubt tsviewer.com Daten der Trackerbenutzer zu sammeln. Wir empfehlen zumindest die Blockierung dieser Seite mit Browser-Addons wie z. B. No-Script. Eigentlich ist es aber Aufgabe der Betreiber, solche externen Dienste gar nicht erst zu verwenden und einzubinden.
Des Weiteren bietet der Tracker kein SSL an. Das sollte mittlerweile zum gängigen Standard gehören.


Fazit

Beim Server kann man auf jeden Fall noch einiges verbessern. Bis auf SSL und die externe Seite war die Source völlig in Ordnung. Was Usability und User Experience angeht, ist bei Gocaf allerdings noch extrem viel Luft nach oben.
Wir haben direkt in der Review-Anfrage ungefragt einen Account erhalten und die Kommunikation war auch sehr angenehm. Wieso kann das nicht immer so einfach sein?
Der Tracker erhält jedenfalls mit gutem Gewissen ein Safe von uns.



https://www.sb-innovation.de/attachment.php?attachmentid=15433

krauli
04.05.19, 10:46
Dem Server vom Tracker wird in der nächsten Woche ein grösseres update verpasst. Unter anderem wird es eine Umstellung auf https geben. Näheres wird folgen.