ausblenden > Netzwerk, Internet, Provider
Schwerer Fehler in OpenSSL
radneuerfinder:
Der Rat offizieller Stellen lautet:
Nutzer sollten sich beim Betreiber der Webservices erkundigen, ob eine durch "Heartbleed" erforderliche Aktualisierung der IT-Systeme abgeschlossen ist. Nach dieser Aktualisierung sollten die Nutzer ihre Passwörter kurzfristig ändern:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Heartbleed_Bug_16042014.html
Jochen:
--- Zitat von: radneuerfinder am April 16, 2014, 13:25:39 ---Der Rat offizieller Stellen lautet:
Nutzer sollten sich beim Betreiber der Webservices erkundigen, ob eine durch "Heartbleed" erforderliche Aktualisierung der IT-Systeme abgeschlossen ist. Nach dieser Aktualisierung sollten die Nutzer ihre Passwörter kurzfristig ändern:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Heartbleed_Bug_16042014.html
--- Ende Zitat ---
Wie ist es denn bei Apfelinsel?
Jochen
radneuerfinder:
Wer nicht beim DiensteAnbieter nachfragen möchte, der kann auch über mittlerweile eingerichtete Testseiten nachforschen ob der SSL Fehler behoben ist:
http://www.heise.de/security/meldung/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html
Ich ergänze, und man sollte testen ob das SeitenZertifikat erneuert wurde, also ein Datum neuer als 08.04.2014 hat:
http://www.heise.de/security/meldung/Heartbleed-SSL-GAU-Neue-Zertifikate-braucht-das-Land-2166639.html
Irgendwo habe ich aufgeschnappt, daß geschätzt 70 % aller https/SSL Übertragungen betroffen sein sollen. Deshalb dürfte eine vollständige Negativ- oder PositivListe* schwer werden:
http://www.stern.de/digital/online/sicherheitsluecke-heartbleed-wo-sie-sofort-ihr-passwort-aendern-muessen-2102570.html
*von den deutschen Banken hätte ich aber gerne eine Auskunft wer (nicht) betroffen ist
MacFlieger:
--- Zitat von: Jochen am April 16, 2014, 13:32:24 ---Wie ist es denn bei Apfelinsel?
--- Ende Zitat ---
Ist nicht betroffen, da kein HTTPs verwendet wird. Dein Kennwort geht sowieso unverschlüsselt im Klartext über die Leitung. :)
Zur ursprünglichen Frage:
Es ist leider relativ einfach:
Wenn Du einen Dienst (Web, Mail oder sonstwas) nutzt, welcher OpenSSL in der betroffenen Version verwendet hat, dann solltest Du Kennwörter tauschen, nachdem die ein Update gemacht haben und ihre Zertifikate erneuert haben.
Ich nehme die folgenden Fragen vorneweg:
Wie kann ich feststellen, ob ein Dienst OpenSSL in der betroffenen Version verwendet hat?
Du selber direkt gar nicht. Es gibt nur Testverfahren, ob aktuell noch die betroffene Version genutzt wird. Aber selbst die sind nicht zuverlässig. Du könntest nur jeden Betreiber fragen, ob er betroffen war. Ob die auch alle überhaupt und dann noch richtig antworten...
Wie kann ich feststellen, dass ein Dienst ein Update gemacht hat und die Zertifikate erneuert hat?
siehe radneuerfinder
Effektiv:
Bevor man nun alle möglichen Dienste befragt und vielleicht bei manchen auch eine Antwort bekommt, sollte man alle Kennwörter wechseln. Der pragmatische Ansatz halt. Alles andere macht nur mehr Aufwand, bringt aber nicht mehr. :(
radneuerfinder:
Mein Pragmatismus: wenigstens alle Kennwörter ändern, die mit Geld zu tun haben, also Shops, OnlineBaking, PayPal, etc.
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln