ну да, пиздец конечно, что http клиент занимается такой дрянью // странно, что вообще так, ведь торнаду вроде бы используют в продакшне, а такие дырки проверяются на раз-два, смотрите случай с getpocket.com https://www.gnu.gl/blog/Posts/multiple-vulnerabilities-in-pocket/ но больше пиздец в том, что для работы просто не используется любой другой нормальный http клиент, который бы мог координироваться с торнадовским лупом, а зачем-то есть встроенный