News Schwere Sicherheitslücke im TLS-Protokoll von OpenSSL

[MountWalker]

@ PhilS1984

Es macht dann Sinn, das Passwort zu ändern, wenn dir der jeweilige Serrverbetreiber genau das mitteilt. Ars technica hat für alle seine registrierten Forenbenutzer eine dicke News mit dem Aufruf gemacht, dass sie ihr Passwort ändern können, weil sie OpenSSL aktualisiert haben. Gewissenhafte Anbieter sagen dir bescheit, sobald es sinnvoll ist.

 

[0711]

DH es macht kein Sinn das Passwort zu ändern?

da aufgrund des bugs dritte das Passwort "auslesen" konnten, ja eine Änderung ist sinnvoll, unabhängig davon ob das ein Serverbetreiber mitteilt oder nicht

 

[Daaron]

Es macht dann Sinn, das Passwort zu ändern, wenn dir der jeweilige Serrverbetreiber genau das mitteilt.

Falsch. Nicht jeder Betreiber (oder eher: die wenigsten) werden tatsächlich ihre Nutzer anschreiben. Oder hast du z.B. eine Mail von Computerbase bekommen?
CB verwenden ein Linux-Cluster, als Webserver kommt nginx zum Einsatz und die Kisten wurden vor nicht all zu langer Zeit aufgesetzt, haben also im Zweifel eine neuere (verwundbare) OpenSSL-Version. So gesehen müsste unser aller Lieblingsforum hier auch alle User anschreiben, nachdem etwaige Zertifikat-Huddeleien behoben wurden.

Was Pinterest angeht: Jep, sieht so aus, als könntest du jetzt gefahrlos dein PW wechseln... und solltest auch. Mein Pinterest-Account läuft über oAuth, da tickt die Sache eh anders.

Was ich mich viel eher frage: Muss Facebook noch reagieren? Googles Apache-Modul mod_spdy ist zumindest gegen eine statische Kopie von OpenSSL gelinkt, nur haben FB zwar SPDY im Einsatz, aber sicher keinen Apache (und somit kein mod_spdy). Sind andere SPDY-Builds, allen voran natürlich das von Facebook, ebenfalls betroffen? Enthalten SPDY-Implementierungen grundsätzlich OpenSSL?

 

[PhilS1984]

http://mashable.com/2014/04/09/heartbleed-bug-websites-affected