Zum Inhalt springen
View in the app

A better way to browse. Learn more.
#T/N/X/T

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Heartbleed

Geschrieben

Jemand aus dem Forum betroffen ?

Ich bin grade dabei die wichtigsten Passwörter zu ändern, da auch Passwortienste wie Last Pass, Wunderlist etc. betroffen sind.

Diverse Banken, GMail usw. sollen laut Berichtserstattung ebenfalls ausgespäht worden sein.

 

http://www.n-tv.de/technik/Muss-man-alle-Passwoerter-aendern-article12639161.html

  • Zitieren

    • Featured Replies

    Geschrieben

    Laut Golem ist es nicht so leicht, über diesen Bug an Passwörter zu kommen. Da hat jemand bei einer Variablenlänge gepennt und es ist möglich einen 64kbit großen Datenblock aus dem Arbeitsspeicher einzusehen. Was in diesen Block an Daten vorhanden sind ist rein zufällig.

     

     

    golem

  • Zitieren
    • Geschrieben
    • Autor

    @old

    Dein Link hatte Aua, hier berichtigt, aber da steht u.a. dann auch das:

     

     

    Dan Kaminsky schreibt in seinem Blog, dass er davon ausgehe, dass innerhalb der nächste Wochen Software auftauchen werde, die auf einfache Weise das Extrahieren privater Keys von Servern mit der Heartbleed-Lücke ermöglichen werde.

  • Zitieren
    • Geschrieben

    Laut Golem ist es nicht so leicht, über diesen Bug an Passwörter zu kommen. Da hat jemand bei einer Variablenlänge gepennt und es ist möglich einen 64kbit großen Datenblock aus dem Arbeitsspeicher einzusehen. Was in diesen Block an Daten vorhanden sind ist rein zufällig.

     

     

    golem

     

    Der Inhalt der 64 Kb ist leider nicht rein zufällig. Es handelt sich um Daten aus dem internen Speicher von OpenSSL. Innerhalb von dem Context ist es "zufällig" aber das schränkt es leider doch massiv ein. Inzwischen ist fix das damit der private Key des Servers ausspioniert werden kann.

    Somit kann sich danach der Angreifer ohne Probleme als dieser Server ausgeben.

    Theoretisch müssen deswegen alle Zertifikate am Server etc. getauscht werden und die alten Zertifikate ungültig werden (damit der Angreifer mit dem private Key nichts mehr anfangen kann), nur leider gibts dafür eigentlich keine eingespielten Mechanismen. Sprich es is davon auszugehen das die meisten Browser weiterhin den alten Zertifikaten vertrauen wodurch im Moment SSL eine fragwürdige Sicherheit bietet :(

  • Zitieren
    • Upvote 1
    Geschrieben
    • Autor

    Sprich es is davon auszugehen das die meisten Browser weiterhin den alten Zertifikaten vertrauen wodurch im Moment SSL eine fragwürdige Sicherheit bietet :(

     

    Aber die alleinige Paaswortänderung behebt dieses Problem definitiv und dauerhaft bis zur nächsten Lücke ??

  • Zitieren
    • Geschrieben
    • Autor

    Vola: Das kann Dir keiner 100% versprechen...

     

    Ich will das aber, sonst trample ich mit den Füßen (und höre niemehr auf)

     

    btw.

    Du hast übrigens Post

  • Zitieren
    • Geschrieben

    Aber die alleinige Paaswortänderung behebt dieses Problem definitiv und dauerhaft bis zur nächsten Lücke ??

     

    Nur dann wenn der Anbieter schon einen neuen Key hat.

     

    Wenn nicht dann hat sich nichts verändert. Dann bringt dir auch deine Passwortänderung nicht viel.

  • Zitieren
    • Geschrieben
    • Autor

    Nur dann wenn der Anbieter schon einen neuen Key hat.

     

    Wenn nicht dann hat sich nichts verändert. Dann bringt dir auch deine Passwortänderung nicht viel.

     

    Na toll, dann bleibt ja nur, den überwiegenden Teil der Dienste nicht mehr zu nutzen.

    Theoretisch recht einfach, praktisch im realen Leben aber nur schwer umsetzbar...

     

    Wo wohnt der eigentlich, der diese Codezeile falsch geproggt hat ?

    Ich habe da ne`Idee :laugh:

  • Zitieren
    • Geschrieben

    Wo wohnt der eigentlich, der diese Codezeile falsch geproggt hat ?

     

    Da haben sich schon andere Gedanken drüber gemacht.

     

    Link

  • Zitieren
    • Geschrieben

    Derzeit hilft eigentlich nur die sicherheitsrelevanten Aktionen im Netz auf ein Minimum zu reduzieren und dann wenn sich der Staub gelegt hat und die verschiedenen Dienste neue Keys und sichere Server haben, dann die Passwörter zu wechseln.

    Wobei das wechseln der Passwörter eigentlich nur präventiv ist.

    Heartbleed ist in erster Linie keine Lücke die Passwörter kompromitiert. Aber es kann dazu führen das Passwörter ausspioniert werden (durch aufgrund von Heartbleed sehr effektivem Phising etc.).

     

    Zumindest AFAIK

  • Zitieren
    • Geschrieben

    Ja, naja. Die Frage ist eh in wie Fern da jetzt groß Wirbel gemacht werden muss.

     

    Es gibt ja meherer Quellen, dass die Lücke schon länger bekannt ist. Die einen sagen das die Lücke seit Ende 2013 genutzt wird, die anderen sagen dass die NSA schon seit 2 Jahren davon weiß. Also fast seit bestehen der Lücke.

  • Zitieren

    • Dein Kommentar

    Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

    Gast
    Auf dieses Thema antworten...
    Zur Themenübersicht

    Account

    Navigation

    Suche

    Suche

    Configure browser push notifications
    Chrome (Android)
    1. Tap the lock icon next to the address bar.
    2. Tap Permissions → Notifications.
    3. Adjust your preference.
    Chrome (Desktop)
    1. Click the padlock icon in the address bar.
    2. Select Site settings.
    3. Find Notifications and adjust your preference.