Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Sicherheitskatastrophe "Heartbleed": Auf nickles.de kein Thema?

mawe2 / 60 Antworten / Flachansicht Nickles

Mich wundert, dass hier bisher kein Wort über die jüngst bekannt gewordene Sicherheitskatastrophe namens "Heartbleed" verloren wurde.

http://www.golem.de/specials/heartbleed-bug/

Gibt es irgendwelche nachvollziehbaren Gründe, dass dieses Thema hier komplett unter den Tisch gefallen ist? Oder ist es purer Zufall?

Ist nickles.de von diesem Bug in irgendeiner Form betroffen?

http://www.faz.net/aktuell/feuilleton/openssl-sicherheitsluecke-jetzt-muss-jeder-jedes-passwort-aendern-12889676.html

Gruß, mawe2

bei Antwort benachrichtigen
Machst du als User hier irgendwelche verschlüsselte ... the_mic
Soweit habe ich das für mich auch erkannt. Aber ich nutze ... mawe2
Das war unsere letzte übereinstimmende Feststellung ... mawe2
Ruf mal spasseshalber https://www.nickles.de auf. Dann ... mi~we
Alles klar, danke! Gruß, mawe2 mawe2
Ja, ich weiß was das bedeutet : mi we hat es eigentlich ... xafford
Hallo, Überlastung der User. Jeden Tag kommen neue ... Hyperboreal
Da ist sicher was dran. Nur ist eben dieses Thema jetzt von ... mawe2
Klar, der Fehler ist extrem kritisch, teuer und braucht bei ... the_mic
Hallo, Also, ich frage mich immer wieder, wie viele neue ... Hyperboreal
Jedes neue Feature, jede neue Zeile Code birgt das Risiko, ... the_mic
Hallo, Darum liebe ich Python. ... Hyperboreal
Und von was träumst du nachts? - Stark abstrahierte ... the_mic
Hallo, Klar. Für mich gibt es zwei Aspekte: 1. ... Hyperboreal
Hallo, eins kann ich jetzt schon sagen: Diie Bedeutung von ... Hyperboreal
Hier gibt s noch einen interessanten Artikel aus einem ... mawe2
Die strenge Qualitätskontrolle fällt aber gerade bei ... Borlander
Naja, ob das realitätsnah ist, darüber könnte man sicher ... mawe2
Dann sind wir aber schon im Bereich der Individualsoftware. ... Borlander
Ich will gar nicht behaupten, das mir das Gelingen würde. ... mawe2
Es bietet bei mir heute Avira Free Antivirus über ein ... gelöscht_320029
Wie soll denn eine lokal installierte AV-Software gegen ... mawe2
Das wäre eher was für einen neuen Thread. Die Antwort in ... Borlander
Entschuldige bitte, so schnell lese ich nicht stetig, schaue ... gelöscht_320029
@all: WOW! Da hab ich ja was losgetreten... :- Auch wenn die ... mawe2
Übrigens haben wir auch schon öfters diskutiert, ob Open ... mawe2
Na ja, wenn man mal überlegt, wie lange MS an XP ... gelöscht_84526
Hallo, aber eigentlich geht es doch hier um Open-SSL ... Hyperboreal
Mir ging es ja auch nur um diesen Satz: Wenn es aber zwei ... gelöscht_84526
Als ich damals dieses Argument gebracht habe, hätte ich ... mawe2
Darum geht es aber hier nicht... Gruß, mawe2 mawe2
Ich wusste, dass du mein Beispiel bzw. meinen Hinweis nicht ... gelöscht_84526
Hallo, na vielleicht war es doch ein bisschen schlecht, das ... Hyperboreal
Nee, war es eigentlich nicht. Man muss nur sein Gehirn ... gelöscht_84526
Na, wenn Du das schon so schön erkannt hast, wundert es ... mawe2
Es ist für mich in der Tat immer wieder auf s Neue schwer ... mawe2
Nichts liegt mir ferner. Du verstehst doch sowieso nix. ... gelöscht_84526
Es gibt allerdings auch genügend Beispiele für Lücken in ... Borlander
Das ist richtig. Nur dürfte diese Lücke kaum von der ... mawe2
Borlander mawe2 „Das ist richtig. Nur dürfte diese Lücke kaum von der ...“
Optionen
Nur dürfte diese Lücke kaum von der Dimension sein wie beim Heartbleed-Bug.

Dann werfen wir doch einfach mal einen Blick auf Sasser (betroffen waren mindestens W2K, XP und 2003 Server) und stellen uns vor es gäbe auch noch eine Variante ohne sichtbare Schadfunktion. Die hätte dann auch über 4-5 Jahre eingesetzt werden können…

Die Dimension ergibt sich schlicht und einfach aus der extrem hohen Verbreitung der Software. Wer weiß, was damals passiert wäre wenn die Hälfte der Webserver auf einem Windows-Server gelegen hätten. Dann wäre ein ähnliches Schreckensszenario denkbar gewesen.

Aber wo wird das verbindlich geregelt?

In wie fern ist das bei Closed-Source anders?

So lange die Suche nach solchen Bugs mehr oder weniger zufällig stattfindet, sind die Verfahren nach wie vor sehr fragwürdig.

Soweit ich das mitbekommen habe fand bei Google eine gezielte Überprüfung von OpenSSL statt, weil sie es in Zukunft verstärkt einsetzen wollen. Dabei wurde der Fehler gefunden. Wenn die oder ein anderer Software prüfen ohne dabei einen spektakulären Fehler zu finden bekommt davon natürlich keiner was mit. Ist vielleicht auch sogar besser so. Sonst sagt irgendwann mal einer: Jetzt haben sich das schon drei andere angeschaut, dann muss ich das nicht mehr selbst machen.

bei Antwort benachrichtigen
the_mic hatte das doch recht gut und prägnant ... Maybe
Die Reaktionen auf den Heartbleed-Bug sind mal wieder ... The Wasp
Also Entwarnung?? mawe2
Hallo Gerade habe ich eine Meldung dazu gelesen, wonach der ... groggyman
Hallo, Loriot: Ach ... ... Hyperboreal
Jeder Mensch und jede Gruppe auf dieser Welt nutzt ... jueki
Fällst du allmählich dem Schwachsinn anheim? Andy andy11
Ach wo, schon immer... Jürgen jueki
Dann wirst du wohl niemals der Schäfer werden. Andy andy11
Ja, das befürchte ich ebenfalls. Jürgen jueki
Full ack... und die Mächtigen hier dürften keinen Grund ... gelöscht_231142
Der bekommt Daten die zuvor vom selben OpenSSL-Prozess ... Borlander
Es gibt bisher keinen einzigen Beleg dafür, dass der ... The Wasp
Es sind wohl doch schon mehrere Belege vorhanden... Ich ... mawe2
Keys auslesen ist einfacher als gedacht ... mawe2
Hallo, Das ist ja ein statistisches Problem. Wenn man lange ... Hyperboreal
Mal sehen ob es noch härter kommt: ... andy11
Hallo, Joke of the day: ... Hyperboreal
Leider etwas spät, aber ich will trotzdem noch darauf ... xafford
Purer Zufall. Die Informatikprofis waren einfach mit ... The Wasp