Tracker: Rocket-HD
Source: UNIT3D

Im Rahmen unserer TOG-Reviews haben wir Rocket-HD etwas genauer untersucht. Der Tracker ist erst seit wenigen Wochen online und deshalb können wir zum Team nichts sagen.

Der Tracker folgt dem aktuellen Trend und setzt auf die UNIT3D Source, die bei Github zu finden ist. Auch hier fällt wieder sofort eine überhastete Inbetriebnahme auf. Es wurden ein paar Farben angepasst, viele Texte noch nicht oder falsch übersetzt (Leeches wurde z. B. mit dem Wort "Ejakulationen" übersetzt; Rechtschreibfehler am laufenden Band) und vieles ist im Standardzustand. Der älteste Staff-Account ist vom 28. März 2019. Umlaute sind teilweise kaputt oder werden gar nicht verwendet. Der Tracker hat kaum Torrents, fast keine User und auch sonst herrscht dort Friedhofsstimmung. Unter normalen Umständen hätten wir ein Review für diesen Tracker abgelehnt, weil es sich nicht lohnt, wenn der Tracker tot ist. Da uns aber ein Staffmitglied sehr freundlich angeschrieben hat, wollen wir der Bitte um ein Security-Review trotzdem nachkommen. Los geht's!


Serversicherheit

OS: Linux, Ubuntu
Webserver: nginx 1.15.8
SSH: OpenSSH 7.2p2 Ubuntu 4ubuntu2.8

SSH liegt nicht auf dem Standardport, allerdings doch recht weit unten. Zumindest 5-Stellig darf der Port ruhig sein. Wie bei der UNIT3D üblich, gibt es noch einen offenen Port für Node.js. Zuletzt ist noch der Standard MySQL-Server Port offen, allerdings wird hier ein Hostfilter eingesetzt.

Als Geolocation Kanada auszuwählen ist zumindest besser als Frankreich, aber da hier wieder OVH benutzt wird, ist es nur eine geringfügige Verbesserung.


Trackersicherheit

Da hier bis auf CSS und Text von der UNIT3D nichts angepasst wurde, konnte man auch keine Sicherheitslücken einbauen. Nicht so gut ist allerdings, dass beim Login Google ReCaptcha verwendet wird. So kann Google bei jedem Benutzerlogin Daten über den Benutzer sammeln. Bei einem Projekt wie einem Tracker, sollten solche Dienste daher nicht verwendet werden. Genauso verhält es sich auch mit der Nutzung von CDNs. Das ist allerdings ein generelles Problem der UNIT3D-Source. Ein Tracker sollte keine JS oder CSS Dateien an externe Dienstleister auslagern. Diese sind dann nämlich ebenfalls in der Lage, Informationen über die Benutzer zu sammeln.
Dieses Problem betrifft alle Tracker, die die UNIT3D einsetzen (und dies nicht geändert haben) und ist nicht speziell auf Rocket-HD bezogen. Wir hatten diesen Aspekt bei vorherigen Reviews der UNIT3D nur noch nicht berücksichtigt.

Trotzdem ist die UNIT3D bei Rocket-HD sicherheitstechnisch solide und kann auch bei diesem Projekt als sicher eingestuft werden.


Fazit

Der Server geht in Ordnung und die UNIT3D weist ebenfalls keine Sicherheitsmängel auf. Da der Tracker noch sehr neu ist und uns die Verantwortlichen gänzlich unbekannt sind, können wir mehr an dieser Stelle nicht sagen. Zumindest aus technischer Sicht, stufen wir den Tracker nach aktuellem Stand als sicher ein. Positiv anmerken kann man außerdem, dass sich ein Vertreter des Trackers bei uns gemeldet und uns einen Account für eine Prüfung zur Verfügung gestellt hat.