Es ist leider nicht ganz einfach, da wie gesagt viele Seitenbetreiber sich in Schweigen hüllen oder irgendwo in irgendeinem versteckten Blog Auskunft geben.
Denn bevor man das Passwort wechselt, müsste man eigentlich wissen, ob sie a) das Update für Open SSL eingespielt haben und b) das Zertifikat bzw. den Private Key gewechselt haben.
Denn a) alleine reicht nicht, da der Private Key vielleicht schon eingesehen wurde und so Angreifer weiterhin ausspähen können. Sprich, wechselt man das Passwort, wird es u.U. wieder vom Falschen gelesen.
Nach Lesen dieses threads sowie Lesen diverser Meldungen im web bin ich auch nicht schlauer geworden, eher mehr verwirrt.
Geht wohl allen so!
Muss man was machen?
Ja, sind a) und b) gegeben, Passwort wechseln!
Hilfreich wäre ein Art Entscheidungsmatrix oder Struktur - Wenn > Dann - wie man vorgehen muss oder sollte?
Info von Seitenbetreiber einholen (dessen Blog, per Mail etc.).
Keine Antwort -> Account löschen (schlechter Service).
Noch nichts gemacht oder nur a) oder b) -> Account löschen (schlechter Admin).
Er hat a) und b) gemacht -> Passwort ändern .
Ja, ist etwas drastisch, aber ich finde es angemessen. Der Bug unterminiert praktisch den gesamten sicheren Internet-Austausch und -Handel. Wer jetzt noch nicht aufgewacht ist, dessen Kunde will ich nicht sein.
Wir können hier ja eine Liste machen, wenn wir schon Infos haben.
Anscheinend nicht betroffen
icloud.com und apple stores
evernote
Twitter
Banken
Amazon
Microsoft
Fehler beseitigt, Zertifikat erneuert ->
Passwort ändern:web.de, gmx.net
posteo
telekom-seiten
gmail
yahoo
macbay.de
cyberport.de
gravis.de
dropbox
soundcloud
Es gibt natürlich unzählige kleine Online-Shops und gesicherte Seiten, Vollständigkeit sollten wir also nicht anstreben.
