qBittorrent 悄然修复存在 14 年之久的安全漏洞

qBittorrent 是一款流行的点对点文件共享应用程序，于 2006 年面世。 超过 14 年现在已经修补了该漏洞。造成潜在安全漏洞的提交是在 2010 年 4 月推出的，内容非常简单，只是将 SSL 验证的默认状态从启用改为禁用。这就避免了令人讨厌的安全错误，而这些错误有可能会惹恼用户，使他们无法从未经验证的来源下载内容。从 2024 年 10 月 28 日的 5.0.1 版起，默认状态再次设置为启用。值得注意的是，qBittorrent 没有对这一变化做出任何解释，也没有以任何特殊的方式通知用户，除了新版本通常附带的补丁说明。

SSL 证书是一种安全令牌，有两种作用：一是验证网络流量来源是否来自其声称的网站；二是对通过该连接传输的内容进行加密。鉴于 BitTorrent 协议是以点对点文件传输为基础的，因此用户可能会从别人的家庭服务器甚至个人电脑接收完全安全的文件，这意味着他们可能不具备授权 SSL 证书的适当设备。禁用该复选框可以让用户顺利地与这些来源进行通信和下载。

这个问题的另一面是，缺乏 SSL 证书或接受非法证书，会使来自任何服务器的几乎任何网络流量来源都有可能冒充用户试图访问的服务器。这反过来又允许 坏人劫持流量，可能窃取主机系统或用户系统的信息，也可能注入他们想要的任何代码。从许多方面来说，这种中间人攻击可以避开许多传统的安全措施（如防火墙），而这些措施本可以保护用户免受不良分子的攻击。

用户仍然可以访问管理应用程序是否在不执行 SSL 证书验证的情况下接受连接的设置，因此愿意承担风险的用户只需禁用即可。即插即用的普通用户通常不会在使用应用程序前深入了解其设置，也不会知道 SSL 证书是如何工作的，以及禁用该设置会带来哪些风险，因此此举对应用程序的安全性来说是一个净积极因素。