Mageia Forum

Mahlzeit!

Ich gehe davon aus, jeder sollte unbedingt seine Passwörter ändern; und zwar nicht nur hier, sondern auf sämtlichen Seiten. Betroffen sind nicht nur HTTPS, sondern auch IMAP, SMTP, XMMP, IRC und alle anderen Dienste die auf TLS setzen.

Da das Ganze aber nur Sinn macht, wenn ich sicher bin, dass auch die Gegenstelle das gefixt hat, ist meine Frage an Euch,
wie oder womit kann ich die Prüfung durchführen?

Vielen Dank.

http://www.heise.de/security/meldung/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html

Sicherheitshalber sind auch mehrere Passwortwechsel sinnvoll, bei kritischen Diensten.
In diesem Forum werde ich allerdings das Passwort nicht wechseln, selbst wenn jemand das Passwort kennt was will er damit machen?

Wenn du dieses Passwort wirklich nirgendwo anders verwendet hast, nichts. - Außer evtl. hier dumme Sprüche unter deinem Namen zu machen.

unklar hat geschrieben:Da das Ganze aber nur Sinn macht, wenn ich sicher bin, dass auch die Gegenstelle das gefixt hat, ist meine Frage an Euch,wie oder womit kann ich die Prüfung durchführen?

Zum fixen gehören 2 Sachen:
1. Ein Update ausführen. (Das wurde eigentlich überall gemacht.) Das kannst du hier Testen: http://filippo.io/Heartbleed/
2. Das Wiederrufen des Zertifikates, falls die Seite Kurzzeitig anfällig war. Das ist schon nicht so einfach. Zum einen muss man dazu wissen, ob die Seite anfällig war. Zumindest für die Top 10.000 Webseiten gibt's da eine Liste: https://github.com/musalbas/heartbleed- ... p10000.txt (Allerdings wurde die erst erstellt, nachdem einige schon gefixt hatten.) Zum anderen müsste man dann wissen, was damals für ein Zertifikat genutzt wurde (Oder zumindest dessen Seriennummer). Das sollte man dann per ocsp prüfen. Und sollte ein No zurück bekommen. Hier gibt's ne Anleitung. Aber irgend wie scheitere ich gerade.

unklar hat geschrieben:Ich gehe davon aus, jeder sollte unbedingt seine Passwörter ändern; und zwar nicht nur hier, sondern auf sämtlichen Seiten. Betroffen sind nicht nur HTTPS, sondern auch IMAP, SMTP, XMMP, IRC und alle anderen Dienste die auf TLS setzen.

Ganz so extrem sehe ich das nicht unbedingt. Ich denke in erster Linie muss man da ändern, wo man (oder irgend ein Programm) sich letzte Woche auch eingeloggt hat.

wanne hat geschrieben:Ganz so extrem sehe ich das nicht unbedingt. Ich denke in erster Linie muss man da ändern, wo man (oder irgend ein Programm) sich letzte Woche auch eingeloggt hat.

Wie kommst du gerade auf diesen Zeitraum?

man-draker hat geschrieben:Wie kommst du gerade auf diesen Zeitraum?

Natürlich hat er das so dahin geschrieben.
wanne weiß auch, dass die Lücke seit mindestens 2 Jahren bestand...

Deshalb schrieb ich ja auch in meinem anderen Faden (mit Verlaub)ich könnte kotzen.
Tut mir Leid, für mich ist das sowas wie der SuperGau. Und, wenn ich dabei schon die Geheimdienste "akzeptiere", möchte ich wenigsten die Kriminellen von meinem Bankkonto ausschließen.

unklar hat geschrieben:Tut mir Leid, für mich ist das sowas wie der SuperGau. Und, wenn ich dabei schon die Geheimdienste "akzeptiere", möchte ich wenigsten die Kriminellen von meinem Bankkonto ausschließen.

HBCI mit Chipkarte und Klasse-3 Leser ist dein Freund. Alles andere ist zur Zeit nicht sicher genug.

man-draker hat geschrieben:HBCI mit Chipkarte und Klasse-3 Leser ist dein Freund. Alles andere ist zur Zeit nicht sicher genug.

Du schriebst das nicht zum ersten Mal... und hast vollkommen Recht.
Die Bank ist aber noch nicht soweit und ich hoffe noch immer.