Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 62 reacties
Submitter: basst85

Volgens ontwikkelaar Andrew Sampson bevat de Torrents Time-plug-in een aantal ernstige veiligheidsgebreken. Zo zou het programma onder andere cross-site scripting mogelijk maken. De ontwikkelaars van Torrents Time bestrijden echter dat de plug-in onveilig is.

torrentstimeSampson beschrijft in een blogpost zeven bevindingen die hem zorgen baren. De software zou gebruikmaken van cross-origin resource sharing, waarmee pagina's bepaalde inhoud vanaf een ander domein kunnen opvragen. Dit is volgens Sampson met een script in te zetten om Torrents Time werkend te krijgen op elke html5-pagina. Daarmee zou hij een aantal handelingen kunnen uitvoeren, bijvoorbeeld het opvragen van gebruikersinformatie als ip-adres en cookies. Hiervoor is wel eerst toegang tot javascript nodig. Ook zou hij in staat zijn een 'onzichtbare' Torrents Time-speler aan te maken, waardoor gebruikers zonder het te weten auteursrechtelijk beschermd materiaal streamen bij het bezoeken van een pagina.

Zijn overige bevindingen zijn dat hij vrij eenvoudig de installer kan aanpassen en de download van de Torrents Time-plug-in kan omleiden naar een ander adres. Daarnaast zou de software elke pagina waarop deze is geïnstalleerd kwetsbaar maken voor cross-site scripting. Op OS X zou het programma ten slotte met root-toegang uitgevoerd worden.

Sampson adviseert om de Torrents Time-plug-in niet te gebruiken en zegt dat hij binnenkort met verdere exploits zal komen. De ontwikkelaar is bekend van het Aurous-project, wat ook wel het 'Popcorn Time voor muziek' werd genoemd. De software was echter maar een kort leven beschoren, omdat deze na klachten van de Amerikaanse RIAA offline werd gehaald.

Naar aanleiding van bezwaren hebben de Torrents Time-ontwikkelaars een antwoord geformuleerd. Daarin bestrijden zij dat er sprake zou zijn van cross-origin resource sharing. Ze zeggen gebruikgemaakt te hebben van javascript-code die in elke browser aanwezig is. Ook de privacybezwaren over het opvragen van ip-adres en cookies vegen zij van tafel, 'omdat dat nu eenmaal is hoe het internet werkt'. Het omleiden van de download kan volgens de ontwikkelaars ook geen kwaad, omdat dat de manier zou zijn waarop internetgebruikers aan applicaties komen. Tot slot zou het cross-site scripting-probleem aan de implementatie door The Pirate Bay liggen.

Naast alle weerleggingen zeggen de ontwikkelaars van Torrents Time ook dat ze een issue oplossen. Zo zou het binnenkort niet meer mogelijk moeten zijn om ongemerkt inhoud te streamen en vraagt de plug-in nu eerst om toestemming. De ontwikkelaars laten verder weten dat de root-toegang op OS X nodig zou zijn 'om ervoor te zorgen dat huidige en toekomstige functies van Torrents Time ondersteund blijven'.

Volgens TorrentFreak wordt de plug-in inmiddels door AVG aangemerkt als adware. De makers van Torrents Time zeggen echter dat het om een false positive gaat. Ook werden de streaming-links op The Pirate Bay kortstondig door adblockers als ongewenst aangemerkt.

De Torrents Time-plug-in dook begin februari op als een manier om torrents rechtstreeks vanaf een webpagina te streamen. Dat kan bijvoorbeeld met onlineversies van Popcorn Time, maar ook sites zoals The Pirate Bay en Kickass Torrents ondersteunen de plug-in. Stichting Brein probeert Torrents Time offline te halen, de plug-in staat momenteel op een Nederlandse server.

Moderatie-faq Wijzig weergave

Reacties (62)

De ongelooflijk aggressieve reactie van het team achter Torrents Time is m.i. genoeg reden om deze software in z'n geheel te vermijden. Op de man spelen in dit soort reacties is vrijwel altijd een teken dat er meer aan de hand is.

Het is ook nog even het opmerken waard dat het popcorn-time.se team (dat ook achter Torrents Time zit), enkele maanden geleden nog onjuiste beweringen de wereld in slingerden dat NW.js inherent aan beveiligingsproblemen zou lijden, en de al even onjuiste bewering dat hun keus om de boel in C++ te herschrijven die situatie zou verbeteren.

Gezien de nogal "hand-wavy" reactie betreffende de VPN-dienst (ondanks dat het gebruik van VPN-diensten een verschrikkelijk slecht idee is) wekt het verder nogal de indruk dat het Torrents Time-team dubieuzere doelen nastreeft. Dat lijkt ook bevestigd door hun aggressieve reactie.

Ik raad aan om er ver uit de buurt te blijven, ook waar het popcorn-time.se betreft. Dit zaakje stinkt, en er is eigenlijk geen enkele uitleg van de situatie waarin de eindgebruiker er niet de dupe van wordt. Er zijn diverse alternatieven en forks voor dit soort diensten (ook binnen het piracy-segment).

EDIT: Het component van Torrent Time dat als root/SYSTEM draait bevat blijkbaar (zwak) versleutelde code, die onder meer system() calls uitvoert. Nog meer reden om skeptisch te zijn.

[Reactie gewijzigd door svenslootweg op 12 februari 2016 23:20]

Bij alles wat met popcorntime te maken heeft vertrouw ik eigenlijk alleen het team van popcorntime.io

Maar ondertussen is dat team ook weer gestopt en is de website offline.

Op https://www.reddit.com/r/popcorntime hebben reditors weer een versie gebouw die het helemaal doet. Dat team vertrouw ik wel, Ook al zatten daar wat Nederlanders tussen die zo slim waren op dit niet anoniem te doen. En na somaties van Brein zijn zei ook moeten stoppen.

Hier kun je weer een werkende versie van Popcorn time downloaden --> http://popcorntimece.ch/

Deze is door de reddit comunity gemaakt en werkt weer erg goed met EZTV voor series en YIFY voor films.

En volgens mij zijn een aantal van originele ontwikkelaars van de allereerste popcorntime nu verder met een nieuw project --> http://butterproject.org/

Maar die hebben nog een werkende versie.

offtopic:
Jij bent toch Joepie91? Was jij niet ooit in het nieuws in verband met iets van Lolsec of zo?

[Reactie gewijzigd door Kain_niaK op 12 februari 2016 19:30]

Echter bestaan EZTV en YIFY niet meer... dus ik zou ook daar erg voorzichtig mee zijn.

offtopic:
Ja, klopt.
Het zijn niet meer de originele mensen, dat klopt. Beide namen zijn zo bekend dat iedereen de traffic wil om geld te verdienen met ads. Maar ze willen die traffic wel houden en dus is het in hun belang om gewoon exact hetzelfde te blijven doen. Tot nu toe komen er op de fake eztv en op de fake yify gewoon nieuwe films en series bij. De kwaliteitopvolging is wel lager. Kom al eens een film tegen met hardcoded Chinese ondertitels. Maar in ieder geval doet popcorntime het weer. En ik zie niet hoe die sites gevaarlijk zouden kunnen zijn. Popcorntime laad gewoon de api en voert vervolgens een torrent uit. Daar kun je geen virus instoppen.
Ben je naar aanleiding van die gebeurtenis erachter gekomen dat een VPN nutteloos is?
Nee, het gebruik van VPNs raad ik al jarenlang af, en dat is puur gebaseerd op logica en kennis over hoe een VPN werkt, niet uit persoonlijke ervaring. Een VPN kan simpelweg niet werken zoals mensen vaak denken of beloofd wordt.

Overigens heb ik nooit gepoogd om anoniem te blijven, dus heeft het daar sowieso niet mee te maken. Maar dit gaat wel erg ver off-topic...
een VPN werkt precies zoals de naam het zegt; Virtueel Particulier Netwerk
*O* VPN, ik raad het iedereen aan te gebruiken.

het gene waar jij over valt heeft zoals veel zaken (bank, afspraken, werk, aankopen etc.) te maken met vertrouwen, ik vertrouw sommige VPN aanbieders meer dan de kpn of ziggo van hier.

is geen technische beperking van VPN, alleen slecht geïnformeerde gebruikers :+ en jah als je voor duppie vooraan wilt zitten [..]

Gene waar jij over spreekt ga je sowieso niet vanaf thuis doen. Daarvoor zijn publieke wifi hotspot, vpn, tor goodluck tracing back

[Reactie gewijzigd door himlims_ op 13 februari 2016 09:40]

Echter is er op een VPN-provider doorgaans veel minder toezicht dan op een reguliere intergebruiker. En wederom, zoals ik ook in dat artikel al aanstipte: vertrouw je je internetprovider niet, zet dan zelf een VPN-server op op je eigen infrastructuur, i.p.v. een "VPN-dienst" van een derde partij.

Mijn kritiek gaat dan ook specifiek over VPN-diensten, niet over VPNs als technologie.
In hun reactie noemt het Torrents Time team Sampson een terrorist vanwege zijn opmerking "Nuke the entire site".
Sampson's call for action ("Nuke Them") shows that he really is a terrorist. Luckily he does not have nuclear weapons, but users should beware.
Kennelijk hebben de betekenis van deze meme niet door.

Overigens lijken niet alle zorgen van Sampson me geldig. Zo is bijvoorbeeld "zorg 5" dat de URL van de Torrents Time installer kan worden veranderd door de website die het Torrents Time script embed; echter, het is evengoed mogelijk om een eigen, op Torrents Time lijkende nepsite op te bouwen zonder gebruik te maken van hun code. Deze "zorg" is te vergelijken met het beschuldigen van de Rabobank omdat het mogelijk is om phishingpagina's te maken die eruit zien als hun website.

Bij "zorg 3" is mij niet helemaal duidelijk wat hij met "het CDN" bedoeld. Natuurlijk is het zo dat een Content Delivery Netwerk de gegevens die automatisch door elke browser naar elke website worden meegestuurd kan loggen (duh), maar hij toont geen bewijs dat dat ook gebeurt.

Wel geldige zorgen zijn het feit dat de plugin toeliet automatisch willekeurige torrents te gaan streamen zonder tussenkomst of medeweten van de gebruiker (al zegt het Torrents Time team dat inmiddels te hebben opgelost) en dat een website een lijst van torrents kan ophalen die gestreamd worden - alhoewel dit niet een probleem is als een website dat alleen kan doen voor torrents die vanaf die site gestart zijn; ik ben bang dat dat laatste helaas niet het geval is.
Natuurlijk is het wel zo dat elke website je IP-adres ziet en dat bij het downloaden van torrents de wereld kan zien dat dit vanaf jouw IP-adres gebeurt, dus een website kan evengoed nog één en één bij elkaar optellen - maar dit moest de ingebouwde VPN toch juist voorkomen?

Ik denk trouwens dat @svenslootweg wat te pessimistisch is over VPN. Natuurlijk is het zo dat een VPN-provider kan besluiten alsnog te loggen, maar voor VPN-providers die niet zoals HideMyAss zich profileren als aanbieders van een "geen logs" VPN staat er meer op het spel als blijkt dat ze toch loggen dan bij een provider als HideMyAss, die dit nooit beloofd heeft. Niet dat je voor belangrijke zaken op een VPN alleen moet vertrouwen; het is veilig om er vanuit te gaan dat de VPN die je gebruikt door de overheid wordt gedwongen om logboeken bij te houden op zoek naar een specifieke gebruiker, ook al betwijfel ik of dat vaak gebeurt. Dat wil nog niet zeggen dat een VPN ook nutteloos is bij het downloaden van torrents als je wilt dat je torrentgeschiedenis niet terug te herleiden valt naar jou door rechtenhouders of sites als YouHaveDownloaded.com; een VPN werkt op z'n minst drempelverhogend. (Ik zou dan ook graag horen waarom jij vindt dat een VPN ook in die gevallen niet gebruikt moet worden.)

[Reactie gewijzigd door xrf op 12 februari 2016 22:24]

Het argument dat een VPN-provider "te veel te verliezen heeft" is het argument dat ik meestal hoor als reactie op dat artikel, maar de realiteit is helaas dat het gros van de VPN-gebruikers absoluut geen onderzoek doet naar de reputatie van een aanbieder - en zelfs al zouden ze dat wel doen, dan nog kom je er niet per se achter als een aanbieder een 'gebruiker' uitlevert.

Vraag maar eens aan een willekeurige gebruiker van HideMyAss of VPN.sh proxy.sh of ze de geschiedenis van de aanbieder kennen, en het antwoord is hoogstwaarschijnlijk "nee". De reputatie van een aanbieder is dan ook niet bepaald een zinnige stok achter de deur.

Verder heb je natuurlijk geen idee wie er daadwerkelijk achter een VPN-aanbieder zit. Voor hetzelfde geld is dat nu juist een filmproducent of een organisatie als BREIN, en ga je met torrents dus alsnog de mist in. Die kans is vele malen kleiner bij een 'gemiddelde' VPS-aanbieder, zoals ik ook in de punten erna aanstip.

Afgezien daarvan stuur je met een VPN standaard al je traffic mee, ook niet-torrent-verkeer - gebruik dan gewoon een proxy, waar je dat probleem niet hebt.

Ik vind dit soort "ja maar VPNs zijn niet zo kapot als je zegt" redeneringen sowieso nogal ergerlijk; op geen enkel punt is een VPN beter dan de alternatieve opties, en het is gewoon het risico niet waard, dus waarom er uberhaupt nog over discussieren?

Mensen lijken de aanname te maken dat het gebruik van een VPN "normaal" is (bedankt, marketing!) en dat iemand dan maar moet bewijzen dat dat niet zo is, terwijl het eigenlijk andersom zou moeten. Bewijs maar eens dat een VPN wel een afdoende en optimale maatregel is.

</rant>

EDIT: Verkeerde aanbieder.

[Reactie gewijzigd door svenslootweg op 12 februari 2016 23:03]

Waar je nu even compleet aan voorbijgaat is dat logless VPN's wel degelijk wat te verliezen hebben als ze toch loggen: ze wordt helemaal kapot gesued als via logs (die ze beloven niet te hebben) BREIN of RIAA even bij klanten van die VPN aan komt kloppen. Hierom is ook je argument dat BREIN of RIAA een 'honeypot' logless VPN op zou (kunnen: tot nu toe is dit nog nooit gebeurd) zetten redelijk absurd. Elk advocatenkantoor zou in z'n handjes knijpen op het moment dat ze dat zouden doen, want de valse logless claim gaat veel $$$ opleveren bij een class action lawsuit, helemaal in de VS, en helemaal bij een rijke tegenpartij als de RIAA.

Afgezien daarvan zijn er een aantal (Private Internet Access en NordVPN komen me zo te boven, maar er zijn er meer) die al jaren een goede staat van dienst hebben. Er zijn gebruikers bij die VPN's die al jaren via die VPN's aan filesharing doen en nog nooit een brief op de mat hebben gehad, zelfs in piracy-hostile landen als Amerika of Duitsland.

TL;DR voor andere tweakers:
Niet naar svenslootweg luisteren, met de juiste VPN zit je wel veilig. Welke veilig zijn? Check de volgende chart even: https://goo.gl/1PSg3Q. Zelf zou ik NordVPN aanraden. Goede staat van dienst, logless, en valt in tegenstelling tot Private Internet Access buiten de zogenaamde 'fourteen eyes' landen.

[Reactie gewijzigd door Menubalk op 14 februari 2016 00:25]

Niet naar svenslootweg luisteren
Pardon? Dit soort opmerkingen zijn behoorlijk dubieus. De argumenten zijn zoals ze zijn.
Dit is net zo min dubieus als zeggen 'rustig blijven iedereen' als een of andere grappenmaker vals 'brand!' schreeuwt. Met een klein beetje googelen kun je makkelijk een veilige VPN vinden (zie de chart die ik link), dus ik kan er bijzonder slecht tegen als iemand misinformatie gaat verspreiden.
Hmm, die reactie is inderdaad niet mals. In plaats van vriendelijk te blijven en de beweringen te weerleggen gaat men frontaal in de aanval net alsof er al een jarenlange vete tussen hen bestaat.

En hoewel ze enkele valabele punten hebben zitten er inderdaad enkele dingen in waarbij een mens zich vragen moet stellen. Root user op OSX, seriously?
Heb afgelopen week deze plugin geprobeerd te downloaden en installeren maar Bitdefender stond het niet toe.
Lijkt mij vooralsnog niet helemaal koosjer. Kan natuurlijk een false-positive zijn, maar ik heb het zekere voor het onzekere gekozen.

In een andere omgeving BD uitgezet en daarna weer aangezet, waarna ik de BD uninstaller nodig had om alles (voor zover bekend) te verwijderen.
Ja ik heb zelf ook bitdefender en malwarebytes gepiraat en ze sloegen op tilt.
Ik moet vast iets gemist hebben. Buiten het feit dat ik nauwelijks torrents gebruik, of uberhaupt iets download, lijkt dit me alsnog niet heel praktisch.

Is het niet zo dat bijna bij geen enkele site die magnet-links nog werken?
Die gasten hebben echt geen enkel idee wat ze aan het doen zijn... De private keys voor het https verkeer naar localhost worden meegeleverd... 8)7

https://gist.github.com/Wack0/8eecd90f688e85fef86b
Uitstekend alternatief al maanden in gebruik wat volledig open source is en door al mijn scanners komt. Powder Player voor Mac en PC. Doet hetzelfde, alleen geen chromecast support maar ideaal om even een filmpje te kijken op je laptop of desktop http://powder.media
Ik had hem geinstalleerd om eens te testen, maar ik weet niet hoe ik het terug moet verwijderen -_-
Daar had ik ook moeite mee omdat de uninstaller bij mij niet werkte heb ik hem handmatig moeten verwijderen.
Een reden te meer om hier met een grote boog omheen te lopen.
Als leek had ik heel even hetzelfde probleem, maar toen ik "torrents time" in de windows 7 zoekbalk intypte kwam de uninstal er zo uitrollen en lijkt hij overal (incl firefox) te zijn verwijderd. Fluitje van een cent.

(als ik het mis heb hoor ik het graag #8-))

[Reactie gewijzigd door Daan.v.w op 13 februari 2016 13:21]

Wat zou de wereld mooi zijn als alles gratis was. :P
Maar als alles gratis is, waarom zou je nog werken voor niks?
Niets doen wordt voor velen saai op den duur. Er zijn ook mensen die echt geestelijk in de problemen raken als ze geen werk hebben.

Werken kan je ook omdat je het leuk/prettig vindt.
De kwaliteit van het geleverde werk gaat dan ook met sprongen omhoog....
Maar ja, dit is voorlopig nog utopie....

[Reactie gewijzigd door Synthiman op 12 februari 2016 17:57]

Dit is geheel juist. Sterker nog, ik zou stellen dat de meeste mensen geestelijk in de problemen raken als ze niets te doen hebben.

Dit is ook een zeer interessant video over dit onderwerp.
Ik zou het heerlijk vinden om iedere dag onder een wateval te mediteren en urenlang boeken te lezen maar de meeste mensen hebben wat meer nodig.
Ja maar wie gaat die boeken schrijven? Of je leren mediteren?

Er is immers weinig te verdienen aan je.
Ik denk dat het je nog zou verbazen hoeveel mensen nog iets willen doen alleen maar voor de eer om door anderen gewaardeerd te worden.
Gooi die rare uitgevers er tussenuit, gooi zelf je werk online, en ik denk dat er alsnog genoeg mensen zullen zijn die al blij zijn dat hun werk gelezen (of gezien) wordt.

In IT termen heb je de open source community. Ook niet echt op geld belust volgens mij...

[Reactie gewijzigd door fm77 op 12 februari 2016 23:24]

Daar heb je een punt. _/-\o_
Er zijn de afgelopen 3000 jaar al een hoop boeken geschreven dus er hoeft niks meer bij ;)

Maar je hebt gelijk het kapitalistisch systeem zou omver vallen.
Maar als alles gratis is, waarom zou je nog werken voor niks?
Omdat niet iedereen enkel winstbejag op het oog heeft; er zijn misschien niet bijzonder veel mensen die iets positiefs willen bijdragen aan de wereld maar ze bestaan zondermeer wel.
Het communisme is Rusland werkte ook niet. Toen iedereen hetzelfde verdiende. Dacht (bijna) iedereen waarom zou ik dokter worden als ik voor hetzelfde geld ook schoonmaker kan zijn. Of we moeten andere prikkels zien te vinden om zulk werk door sommige mensen uit te laten voeren. Maar we hebben prikkels nodig.
Iets gratis voor een ander doen staat niet meteen gelijk aan communisme... ;)
Het effect dat iedereen het gratis doet is hetzelfde dat iedereen er voor hetzelfde terug krijgt. Als je er andere dingen voor terug krijgt dan geld dan is het ook niet gratis. Maar er is ook een verschil tussen iets gratis doen en alles gratis doen.
Ik geloof niet in dat voorbeeld. Tuurlijk voor sommige mensen gaat dat op, maar ik was hoe dan ook ITer geworden al verdiende ik hetzelfde met schoonmaken.

Een groter probleem zijn de beroepen die niemand wil doen. Niemand die zich daar in wil specialiseren. Want waarom zou je?
Ja je was ICTer geworden. Maar had je al die cursussen gedaan? Of een ICT baan waar veel meer stress bij komt kijken? Ik ga bv echt niet in het weekend werken. En bv ook niet tijdens mijn vakantie bereikbaar zijn voor de zaak.
Ja dat had ik. Ik heb van mijn werk mijn hobby gemaakt. Zo zullen er ook mensen zijn die het leuk vinden om dokter te worden, leraar, noem maar op. Niet iedereen doet het voor het geld.
Tuurlijk maar ga je al die extra stress in je leven roepen omdat je het leuk vind?

dat betwijfel ik. En dan zal spoedeisende hulp verdwijnen er zijn immers weinig mensen die voor de lol snachts en bv met kerst gaan werken.
Maar we hebben prikkels nodig.
En dat is precies de crux van wat ik duidelijk probeerde te maken -- Niet voor iedereen bestaat die prikkel uit persoonlijk winstbejag. Maar, goed om te weten dat dat voor jou wel geldt. Want dat is wel wat je impliceert.
Sommige dingen doe ik inderdaad uit winst belang, maar niet alles. Waarschijnlijk heb ik een te negatief beeld van de mens, maar dat beeld heb ik wat ik hierboven heb geschreven.
Volgens TorrentFreak wordt de plug-in inmiddels door AVG aangemerkt als adware.
Deze boevenbende besteelt onwetende gebruikers van hun privacy wanneer ze de gratis versie van AVG gebruiken. AVG is dus de allerlaatste die iets van privacy gerelateerde zaken mag vinden. Daarnaast is zeker AVG niet gespecialiseerd in het vinden van beveiligingsproblemen in plugins daar hun eigen Chrome plugin lek is.

Zie:
nieuws: AVG verzamelt browse- en zoekgeschiedenis klanten en verkoopt die mogelijk door
nieuws: Google-onderzoeker stelt lek in Chrome-extensie van AVG vast
...

[Reactie gewijzigd door ItsWillem op 13 februari 2016 19:29]

Was het een exe die je had gedownload na het drukken op een 'stream in browser' knop?
Ja inderdaad! Stom...
Dat is dan dus niet de betreffende plugin ;)
Om al deze problemen te voorkomen, geen virus, geen adware, geen rommel op je computer, voor 10 euro/maand (of 5 euro/maand als je je account deelt), ben je gerust, stress-vrij aant kijken met legale alternatieven zonder reclame. Die paar euro's willen uitsparen is toch helemaal de moeite niet om je de ergernis op je schouders te halen. Velen ( waaronder ikzelf vroeger ), download, streamt - omdat het kan, voor de kick.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Microsoft Xbox One S FIFA 17 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True