Stellungnahme zu Heartbleed
Wie ihr wahrscheinlich schon aus der Presse erfahren habt, wurde Anfang dieser Woche eine sehr schwerwiegende Sicherheitslücke in der Verschlüsselungssoftware OpenSSL entdeckt, die bei einem Großteil aller Internet-Seiten verwendet wird, um den übertragenen Datenverkehr gegen Angriffe zu schützen. Das heißt, dass beispielsweisebei betroffenen Seiten im ungünstigsten Fall die ausgetauschten Daten wie z.B. Passwörter auf dem Weg vom Server zum Browser abgehört werden können. Ob eine bestimmte Website derzeit anfällig gegenüber diesem Angriff ist, kann man testen, indem man deren Namen auf dieser Test-Seite eingibt.
Bei Animexx setzen wir verschlüsselte Übertragung standardmäßig ein, wenn sensible Daten wie beispielsweise Passwörter übertragen werden, und bieten darüber Hinaus beim Login-Formular rechts unten auf der Seite die Möglichkeit, grundsätzlich auf verschlüsselte Übertragung (HTTPS) umzustellen. (Bei vielen Browsern kann das leider dazu führen, dass eingebettete Bilder in Steckbriefen, Weblogs etc. nicht mehr angezeigt werden, wenn diese nicht auch über HTTPS übertragen werden).
Die Verschlüsselung übernimmt auf unserer Seite ein separater Load Balancer, den Onlinewelten / IDG betreibt. Nach Auskunft von Onlinewelten war dieser nicht von diesem Bug betroffen (was sich auch mit den Testergebnissen deckt). Allerdings kommt dieser Load-Balancer erst seit kurzem zum Einsatz. Ob bei dem HTTPS-Server, der zuvor zum Einsatz kam, die fehlerhafte OpenSSL-Routine aktiv war, können wir leider nicht mit Sicherheit sagen, daher können wir auch keine 100%ige Entwarnung geben. Wer auf Nummer sicher gehen will, tut also gut daran, auch hier das Passwort zu ändern.
Und wie das Ganze funktioniert hat, erklärt uns heute auch für Nichtinformatiker ganz großartig xkcd http://xkcd.com/1354/
Tobias/Galileo
Werden die Animexx Serverzertifikate dann auch erneuert?
Danke für die Erklärung!
> Dankeschön.
>
> Werden die Animexx Serverzertifikate dann auch erneuert?
Das würde mich auch interessieren, denn sonst bringt ein Wechsel der Passwörter recht wenig.
Ich präsentiere: Der Animexx-Feuilleton!
Ist das jetzt von User zu User unterschiedlich von eine Seite sicher ist, oder nicht?
Oder gibts schon ne Art Liste, welche Seiten so im groben sicher sind? x_x
†††Real Men Sparkle!†††
♥Breaking Dawn Part 2- 22.November 2012 - Nicht verpassen ♥
> Ich hab davon keine Ahnung.
>
> Ist das jetzt von User zu User unterschiedlich von eine Seite sicher ist, oder nicht?
> Oder gibts schon ne Art Liste, welche Seiten so im groben sicher sind? x_x
Eine (sortierte) Liste gibt es bei mashable.com
Und auf github gibt es eine unsortierte, aber umfangreichere Liste Heartbleed Masstest on github
Aktuelle Subs: Nichts
ebay und paypal sind laut ebay safe und nicht betroffen.
das hat mir jedenfalls heute der support erklärt. -_-
ob allerdings schon alle die möglicherweise betroffen waren, die lücke geschloßen haben ist ne andere frage. <_<
ohne animexx wäre mir das ganze entgangen.
also nochmal danke für den weblogeintrag.
†††Real Men Sparkle!†††
♥Breaking Dawn Part 2- 22.November 2012 - Nicht verpassen ♥
Das Team von SemperVideo hat auch ein Video veröffentlicht wo die Sache genau und verständlich erklärt wurde.
Die Heartbleed Katastrophe by SemperVideo
Aktuelle Subs: Nichts
> Werden die Animexx Serverzertifikate dann auch erneuert?
Inzwischen ja. Zur Referenz: das neue Zertifikat hat die Seriennummer 00:EC:AF:AB:CC:55:EA:11:7C:CC:A2:D7:18:A6:2C:A0:24 , das alte 00:C2:F3:C9:BD:E0:80:FB:DA:4E:E3:6E:9B:EF:DA:9E:95. (Verwirrenderweise steht bei der Gültigkeit immer noch etwas von 2013 drin, aber das bezieht sich wohl auf das Kaufdatum)