kostenloser Webspace werbefrei: lima-city

Heartbleed

lima-cityForumDie eigene HomepageSicherheit im Internet

abschnitt all angreifer angriff auslese computer datum dienst geringer schaden information lesenden zugriff privatperson programm schaden server tag test url zitieren zweck
  1. Autor dieses Themas

    medi-st-rochus

    medi-st-rochus hat kostenlosen Webspace.

    22:27, 17.4.2014
    Htag/all">allo Community,

    vor einigen Tagen wurde ja die Sicherheitslücke "Heartbleed" in OpenSSL veröffentlicht.
    Haltet ihr diese für eine ernst zu nehmende Gefahr? Wenn ja, was ist einem Angreifer möglich von dem Server abzufangen?

    Gruß

  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. bladehunter

    Kostenloser Webspace von bladehunter

    bladehunter hat kostenlosen Webspace.

    8:16, 18.4.2014
    Um mal Bruce Schneier zu zitieren:

    "Catastrophic" is the right word. On the scale of 1 to 10, this is an 11.

    https://www.schneier.com/blog/archives/2014/04/heartbleed.html

    Die Sicherheitslücke ist sehr kritisch. Man kann damit zufällige Abschnitte des Arbeitsspeichers eines Computers (sowohl Client als auch Server) auslesen. Und wenn dann im Arbeitsspeicher geheime Informationen liegen, wie digitale Schlüssel, dann kann der Angreifer diese digitalen Schlüssel für seine Zwecke missbrauchen.

  4. c143

    c143 hat kostenlosen Webspace.

    9:54, 18.4.2014
    Alle Dienste sollten diesen Fehler behoben haben, wenn du keinen eigenen Server hast einfach mit den Updates auf dem neusten Stand bleiben und das kann nicht mehr vorkommen. Blöd wärs, wenn sie deine Passwörter aber schon ausgelesen hätten, dann können sie ja immer noch darauf zugreifen. Also Passwörter bei wichtigen Diensten umbedingt ändern.

    Du als Privatperson kannst da nicht viel daran ändern, eigentlich nur die obigen Sachen, falls du eine Webseite überprüfen willst ob sie noch unsicher ist, kannst du das hier machen: https://filippo.io/Heartbleed/

    Aber wie schon erwähnt wurde, das war eine ziemliche Katastrophe.

  5. h***e

    11:27, 18.4.2014
    Kritisch ja aber gefährlich nein.
    Die Sicherheitslücke war vorher nicht bekannt das bedeutet das höchstens nur einzelne hacker die Sicherheitslücke gekannt haben.
    Das heißt zwar nicht das kein schaden entstanden ist, aber wenn durch die Lücke ein schaden entstanden ist der Schaden nur gering.
    Jetzt hat jeder die Lücke geschlossen und niemand kann die Lücke mehr ausnutzen.


    Beitrag zuletzt geändert: 18.4.2014 16:58:00 von hpage

  6. hackyourlife

    Moderator Kostenloser Webspace von hackyourlife

    hackyourlife hat kostenlosen Webspace.

    14:56, 20.4.2014
    bladehunter schrieb:
    Die Sicherheitslücke ist sehr kritisch. Man kann damit zufällige Abschnitte des Arbeitsspeichers eines Computers (sowohl Client als auch Server) auslesen.
    Das größere Problem daran ist aber, dass OpenSSL eine eigene Speicherverwaltung hat und dadurch NUR Daten von OpenSSL ausgelesen werden können (gerade ver-/entschlüsselte Daten oder die Schlüssel selbst). Auch ist es praktisch nicht Möglich das Programm durch den lesenden Zugriff zum Absturz zu bringen. Gleichzeitig ist es für den Administrator nicht möglich herauszufinden, ob ein Angriff durchgeführt wurde. All die Punkte zusammen machen Heartbleed derart »gefährlich«.

    @hpage: Wenn man keine Ahnung hat …
    Aber unqualifizierten Mist in Bezug auf Sicherheit verzapfen ist mindestens genauso gefährlich wie Heartbleed selbst, schließlich könnte es passieren, dass jemand, der selbst nicht viel zum Thema weiß, glaubt was du da schreibst!

    hpage schrieb:
    […] aber wenn durch die Lücke ein schaden entstanden ist der Schaden nur gering.
    Klar. Wenn praktisch alle privaten Schlüssel gestohlen werden konnten und vermutlich auch einige (viele) gestohlen worden sind, mit welchen eigentlich geheime (verschlüsselte) Informationen im Klartext (trotz Verschlüsselung) gelesen werden können, ist das natürlich kein oder nur ein geringer Schaden.

  7. swm-test

    swm-test hat kostenlosen Webspace.

    13:55, 8.6.2014
    Vermutlich gibt es in OpenSSL noch mehr Lücken (http://www.heise.de/newsticker/meldung/Noch-mehr-Herzbluten-bei-OpenSSL-2217286.html).

    Vielleicht ein guter Anlass, um auf PolarSSL umzusteigen (leider sind viele Programme damit fest verdrahtet, darum wird es uns auch in Zukunft erhalten bleiben…).

    Beitrag zuletzt geändert: 8.6.2014 13:55:34 von swm-test

  8. c*****e

    20:50, 30.6.2014
    Zwar ist das Thema schon lange her, aber falls es in deinen Augen immer noch auf seltsame Seiten treffen solltest kannst du es auf https://filippo.io/Heartbleed/ mal Probieren. Dies ist nur eine von vielen Online Tests. Kannst einfach mal googlen nach z.b. "Heatbleed online test". Schreibe bitte falls du einen besseren Test finden solltest.

    CrackMe

    Beitrag zuletzt geändert: 30.6.2014 20:51:32 von crackme

  9. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

lima-city bietet dir kostenlosen und werbefreien Speicherplatz für Deine Homepage. Sofort anmelden und direkt loslegen mit Webspace, PHP, Datenbanken, günstigen Domains und einer tollen Community!

Login zum Webhosting ohne Werbung!

Hast Du schon kostenlosen Webspace oder bist Du auf der Suche nach WordPress-Hosting mit Staging-Funktion und wp-cli? Jetzt günstige Prepaid Domains registrieren!