Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsHeartbleed möglicherweise bereits Ende 2013 ausgenutzt
Die folgenschwere Sicherheitslücke im TLS-Protokoll von OpenSSL, die das Internet seit Wochenbeginn beschäftigt, dürfte mittlerweile auf dem Großteil der betroffenen Server geschlossen sein. Was die Sicherheitsexperten weit mehr beschäftigt ist die Tatsache, dass die Lücke vermutlich bereits vorher ausgenutzt wurde.
Da sieht man wie gravierend eine Lücke in einer weit verbreiteter Software sein kann. Das schlimmste ist hier, dass man nicht Einmal Zugriff auf das System selbst braucht und da es oft für Webdienste genutzt wird, den Angreifern immer offen steht.
Mittlerweile ist auch bekannt geworden, dass ein deutscher Entwickler im Rahmen seiner Dissertation den Fehler verursachte, indem er vergaß, das Feld payload_length auf seine tatsächliche Länge zu validieren. Ein Kollege bei OpenSSL, der den Code einem Audit unterzog, übersah die Lücke ebenfalls.
Dem Entwickler kann man aber sowas von Vorwürfe machen! Schon mal von persönlicher Produkthaftung gehört?
Sein Glück war wohl, dass dies eine Open Source Software ist, also ohne jegliche Ansprüche auf Haftbarkeit genutzt wurde. Für mich stinkt das ganze zum Himmel. "Übersehen" oder "vergessen"
Warum hast du den Code nicht selbst überprüft, ist doch OpenSource? Immer diese Verschwörungstheorien. Fehler passieren auch ohne Fremdeinwirkung und die Geheimdienste brauchen diese nur auszunutzen.
Der Nachteil bei Open Source ist eben, dass Geheimdienste hunderte Programmierer und Sicherheitsexperten in Vollzeit für die Suche und Erstellung solcher Lücken einsetzen können, dagegen hat die Community schon rein Ressourcenmäßig keine Chance. Dieses Problem besteht aber auch bei Closed Source, falls nur der Geheimdienst Zugriff auf die Quellen hat.
Andererseits sollte man direkten Speicherzugriff ohne doppelte Absicherung unmöglich machen, auch wenn darunter die Performanz ein wenig leidet. Auch in C geschriebene Programme sollten die Daten intern getrennt nach Inhalt verwalten und keinen gemeinsamen Speicher für alles verwenden. Jede Funktion sollte nur auf die für ihre Arbeit benötigten Daten zugreifen können und nicht per memcpy auf alles.
Den Einzigen den man hier Vorwürfe machen kann sind Unternehmen die Open Source an "kritischen" Stellen einsetzen ohne sich selbst aktiv an der Entwicklung zu beteiligen.
Hier hat das Qualitätsmanagement versagt, wenn es so was bei Open Source überhaupt gibt
Naja dieser ganze Fall demonstriert diesen ganzen OSS-Fanatikern eindringlich, dass dieses 1000-Augen Prinzip nicht funktioniert, fast sogar die Sicherheitslage noch verschlimmert. Denn jeder Patch wird im Quellcode als Diff sichtbar, man sieht den Fehler und kann ihn nutzen sofern die Software in irgendwelchen Applikationen nicht erneuert wird.
Wenn ich hier Leute höre von wegen persönlicher "Produkthaftung" kommt mir das Kotzen. Zum einen ist OpenSSL kein Produkt (sehe ich generell bei Software so), zum anderen ist es schier unmöglich alle Eventualitäten als Mensch abschätzen zu können, vor allem bei großen Softwaresystemen. Eher zeigt sich hier wieder die übliche Schwäche der von Neumann-Architektur und non-managed Code, performance hin oder her.
Ich will nicht ganz ausschließen dass es sich um Sabotage handelt, aber den Entwickler ohne Hintergrundwissen schon vorzuverurteilen ist genau so kurzsichtig.
Viel wichtiger für uns Anwender: Passwörter ändern wo es nur geht, da faktisch jeder SSL Transfer der Vergangenheit dechiffriert werden kann, es sei denn der Server verwendete Perfect Forward Secrecy (gibt es für die gängigen Browser Plugins die das mal anzeigen?).
Immer weiter auf OpenSource rumhacken, gut so. Wie sicher Closed Source vor Programmierfehlern und Geheimdienstübergriffen und -bestechungen ist, haben wir ja alle mitbekommen.....
Wie lange hat es gedauert bis es erledigt war? Ich habe davon am Montag gehört und gegen abend mal aus spaß ein apt-get update && upgrade gemacht und siehe da openssl (und open ssh glaube ich) hatte ein update. Das waren also max. 12 Stunden. Das soll mal bitte ein Apple, MS oder sonst ein Closed Source Unternehmen nachmachen.
Wenn es so einfach wäre, erst mal musst Du wissen, ob die Seite vom Bug betroffen war. Falls ja, ob der Bug beseitigt und ein frisches Zertifikat installiert wurde.
Erst dann lohnt es sich tatsächlich, das Passwort zu ändern, vorher ist es nur leerer Aktionismus.
Korrekt, immer prüfen ob das Zertifikat erneuert wurde! Sonst hilfts nix.
@Cooler Master:
1. Denke das hat nix mit opensource zu tun. Im Gegenteil. Da musst du am besten erst mal den Verantwortlichen erreichen, der den Bug wirklich sicher beheben kann. Es ist auch vllt. grad mal niemand da der den Code fixen kann.
2. War dieser Bug extrem einfach zu fixen.
3. Die Openssl Gruppe wusste schon vor der Veröffentlichung, dass der Bug existiert. Hatte also mehr Zeit ihn zu fixen.
Die Diskussion wegen OpenSource ist doch nicht, dass proprietäre Software sicherer ist, sondern, dass Open Source Software eben nicht das Allheilmittel ist, dass viele so gern sehen, da closed source ja böse ist. Sicher hat beides Fehler. Ob etwas mehr oder weniger hat hängt einfach mit den investierten Resourcen und dem dazugehörigen Expertenwissen zusammen.
Software nicht als Produkt anzusehen ist übrigens genauso lächerlich. Wenn wir alles in Materialwert messen würden...wow.
Seh ich auch so. Ich finde z.B. Gimp einfach nur kacke und Photoshop dafür 100 mal einfach und schneller. Es gibt einfach Bereiche in dem Closed Source super ist und in einigen wo Open Source super ist.
Server OS: Open Source besser als Closed (Linux vs. Win)
Desktop OS: Open Source ok, aber Closed Source ist doch besser für den Großteil
Programme: Je nach Branche/Anwendung das eine oder andere.
Bzgl. Produkt: Na ja man kann Software auch als Lösung sehen. Das ist am ende vom Tag einfach Geschmack.
Wenn ich hier Leute höre von wegen persönlicher "Produkthaftung" kommt mir das Kotzen. Zum einen ist OpenSSL kein Produkt (sehe ich generell bei Software so), zum anderen ist es schier unmöglich alle Eventualitäten als Mensch abschätzen zu können, vor allem bei großen Softwaresystemen. Eher zeigt sich hier wieder die übliche Schwäche der von Neumann-Architektur und non-managed Code, performance hin oder her.
Mich kotzt persönliche Produkthaftung auch an, aber sie ist trotzdem existent und trotzdem sinnvoll. Und du stellst mit deiner Aussage gerade allen Softwarefirmen einen Persilschein aus, schlechten Code zu liefern, da es ja kein Produkt ist.
In meinem Job hängen Menschenleben von der persönlichen Produkthaftung ab und auch ich kann nicht alle Eventualitäten Berücksichtigen. Aber es genügt auch nachzuweisen, dass man realistisch machbare sicherheitssysteme eingebaut hat, die die Wahrscheinlichkeit eines Unfalles extrem minimieren.
Der hier beschriebene Fehler sieht sieht entweder nach Schlampigkeit oder gar nach Hintertür aus.
