Forum

Re: Schwerer Fehler in OpenSSL
Antwort #30: April 16, 2014, 14:27:13
Genau, aber nur für Seiten bei denen sich Safari die Kennwörter gemerkt hat. Ansonsten sieht man es, wenn man eine Seite aufruft an dem s von https. Die meisten Browser blenden dann auch irgendwo ein Schloßsymbol ein.

Hier beim aktuellen Safari wird das http oder https aber nicht angezeigt.
Schloßsymbol sah ich irgendwann mal früher, derzeit ist mir noch nix aufgefallen, auch nix bei macbay?

Jochen

_______
Wenn Du es eilig hast, gehe langsam.
Re: Schwerer Fehler in OpenSSL
Antwort #31: April 16, 2014, 14:41:01
Hier beim aktuellen Safari wird das http oder https aber nicht angezeigt.
Schloßsymbol sah ich irgendwann mal früher, derzeit ist mir noch nix aufgefallen, auch nix bei macbay?

Stimmt, das Protokoll wird bei HTTP oder HTTPS nicht mehr explizit angezeigt. Das Schloss inklusive domainnamen in grün oder andere Farbe je nach Zustand des Zertifikates steht dann vor der URL. Ruf doch einfach mal eine HTTPS-Seite manuell auf, z.B. Deiner Bank. Dann siehst Du die neue Anzeige.

Wie definiert sich ein Dienst?

Ein Dienst ist einfach ein Rechner im Internet, der Dir Informationen bereitstellt bzw. mit dem Du kommunizieren kannst.
Potentiell betroffene Systeme sind
- Webserver, wenn HTTPS benutzt wird
- Mailserver, wenn SSL aktiviert ist
- FTP-Server, wenn SFTP oder FTPS benutzt wird
- SSH-Server
...
- alle möglichen Server, mit denen Du oder Dein Gerät verschlüsselt kommuniziert.

Zitat
Gibt es auch Dienste mit s die kein OpenSSL nutzen?

Jede Menge. OpenSSL ist nur eine Implementierung von SSL, allerdings die weitverbreiteste. Andere Firmen haben auch Implementierungen, so z.B. MS, Apple, Mozilla...
Und OpenSSL ist nicht komplett betroffen, sondern nur ganz bestimmte Versionen. Das in OS X integrierte OpenSSL, welches aber von Apple-Anwendungen AFAIK nicht verwendet wird, ist zu alt und wäre nicht betroffen.

Effektiv finde ich immer noch: Es bleibt einem pragmatisch nichts anderes übrig, als überall Kennwörter zu wechseln, wo verschlüsselt übertragen wird. Die Hinweise von Florian im Hinterkopf behaltend.
Oder man macht es so radikal wie Florian. Dazu fehlt mir der Mut.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Schwerer Fehler in OpenSSL
Antwort #32: April 16, 2014, 15:54:06
Im aktuellen Safari sieht das so aus:

   

Hat die Seite ein Zertifikat (Ausweis), so wird das https durch den Namen im Zertifikat ersetzt und nur mehr das Schloß ist zu sehen:

   

aus:
http://support.apple.com/kb/HT6074?viewlocale=de_DE
Re: Schwerer Fehler in OpenSSL
Antwort #33: April 16, 2014, 16:21:17
Im aktuellen Safari sieht das so aus:

Habe jetzt mal vier Seiten aufgerufen die lt. Safari > Einstellungen > Kennwörter HTTPS sein sollen.
a) Bei Macbay und Amazon wird aber nix angezeigt.
b) Bei den zwei anderen wird was angezeigt.

Was kann man zu a) sagen?

Oder mal Safari zurücksetzen?

Jochen

PS: Sehe gerade auf der macbay Seite eine Info zu heartbleed.
Ist aber doch keine Erklärung zur Nichtanzeige von HTTPS in der URL?
« Letzte Änderung: April 16, 2014, 16:27:20 von Jochen »
_______
Wenn Du es eilig hast, gehe langsam.

Florian

  • Verderbliche Ware!
Re: Schwerer Fehler in OpenSSL
Antwort #34: April 16, 2014, 16:26:22
macbay und amazon sind, wie die meisten Seiten, nicht komplett verschlüsselt, sondern nur die persönlichen Seiten und Anmeldung.
Klicke einfach auf Anmelden oder Kundenbereich.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Schwerer Fehler in OpenSSL
Antwort #35: April 16, 2014, 16:28:44
macbay und amazon sind, wie die meisten Seiten, nicht komplett verschlüsselt, sondern nur die persönlichen Seiten und Anmeldung.
Klicke einfach auf Anmelden oder Kundenbereich.

Stimmt, nun kommt Licht ins Dunkle  ;D

Jochen
_______
Wenn Du es eilig hast, gehe langsam.
Re: Schwerer Fehler in OpenSSL
Antwort #36: April 16, 2014, 17:12:01

Florian

  • Verderbliche Ware!
Re: Schwerer Fehler in OpenSSL
Antwort #39: April 23, 2014, 18:53:57
Sehr sinnvoll, noch ein Projekt mit viel zu wenig Mitstreitern.  ::)

Genau das hatte ich erwartet.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.

Bonobo

  • Rätselkönig
  • Wurde geboren, lebe noch. Vielseitig interessiert.

mbs

Re: Schwerer Fehler in OpenSSL
Antwort #41: April 25, 2014, 12:54:16
Amazon, Cisco, Dell, Facebook, Fujitsu, Google, HP, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace und VMware haben zugesagt, OpenSSL in den nächsten drei Jahren mit jeweils 100.000 $, also insgesamt 4,2 Millionen Dollar zu fördern.

Presse-Erklärung via The Linux Foundation
Re: Schwerer Fehler in OpenSSL
Antwort #42: Mai 11, 2014, 18:29:58
Mit meinem Unverständniss für Zertifikate scheine ich nicht alleine zu sein:
http://www.golem.de/news/nach-heartbleed-neues-zertifikat-alter-key-1405-106384.html

Florian

  • Verderbliche Ware!
Re: Schwerer Fehler in OpenSSL
Antwort #43: Mai 11, 2014, 23:16:49
Was genau verstehst Du nicht? Ich versuche es gerne noch mal mit der Erklärung.

Ich nehme jetzt einfach mal an, Du betreibst auch keine SSL-geschützte Seite. Mein Verständnis für solche Webmaster, im Gegensatz zu dem gegenüber Dir, hält sich in engen Grenzen.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Schwerer Fehler in OpenSSL
Antwort #44: Mai 11, 2014, 23:31:31
Um meine ursprüngliche Frage ein wenig zu variieren: Woran kann ich erkennen,
1. daß der Aussteller des Zertifikats vertrauenswürdig ist,
2. der Name des Ausstellers nicht gefaked ist,
3. nicht eine x-beliebige Schadsoftware/Webseite das ZertifikatFenster auf mein Display malt/verändert?