Antwort auf den Beitrag "Re:Heftige Sicherheitslücke in OpenSSL" posten:
nickname
passwort
titel
>>Man selbst kann da aber nichts machen, oder? > >Nein. Du solltest sicherheitshalber das Passwort bei wichtigen Seiten ändern, wenn der Serverbetreiber den Patch (falls der Server verwundbar war) und wünschenswerterweise neue Zertifikate installiert hat. Du kannst beides hier checken [http://possible.lv/tools/hb/] > >> Ich meine wenn sich ein Angreifer jetzt z.B. mit dem PCX-Forum verbindet dann kann er ja ohne dass ich darauf Einfluss habe mein Passwort auslesen. > >Im Prinzip ja, wenn der Server zum Zeitpunkt des Angriffs dein Passwort im Speicher hatte und der Webserver eine openssl Version mit dem Bug verwendet. > >Zumindest während dem Login hat ein Server dein PW im Klartext im Speicher. Vermutlich auch länger. > >OpenSSL wird eigentlich bei allen Linux/Unix Webservern verwendet. Ob in der verwundbaren Variante kommt auf den Serverbetreiber an. Die Lücke ist schon seit 2 Jahren in OpenSSL1.0.1. Also dürfte sie gut verbreitet sein. > >Bei uns ist es so, dass der Webserver kein OpenSSL verwendet und auch die TLS Heartbeat Extension nicht unterstützt. Somit waren wir von diesem Problem nicht betroffen.
mailbenachrichtigung?