Zum Inhalt der Seite



Stellungnahme zu Heartbleed Animexx, Server

Autor:  cato

Wie ihr wahrscheinlich schon aus der Presse erfahren habt, wurde Anfang dieser Woche eine sehr schwerwiegende Sicherheitslücke in der Verschlüsselungssoftware OpenSSL entdeckt, die bei einem Großteil aller Internet-Seiten verwendet wird, um den übertragenen Datenverkehr gegen Angriffe zu schützen. Das heißt, dass beispielsweisebei betroffenen Seiten im ungünstigsten Fall die ausgetauschten Daten wie z.B. Passwörter auf dem Weg vom Server zum Browser abgehört werden können. Ob eine bestimmte Website derzeit anfällig gegenüber diesem Angriff ist, kann man testen, indem man deren Namen auf dieser Test-Seite eingibt. 

Bei Animexx setzen wir verschlüsselte Übertragung standardmäßig ein, wenn sensible Daten wie beispielsweise Passwörter übertragen werden, und bieten darüber Hinaus beim Login-Formular rechts unten auf der Seite die Möglichkeit, grundsätzlich auf verschlüsselte Übertragung (HTTPS) umzustellen. (Bei vielen Browsern kann das leider dazu führen, dass eingebettete Bilder in Steckbriefen, Weblogs etc. nicht mehr angezeigt werden, wenn diese nicht auch über HTTPS übertragen werden).

Die Verschlüsselung übernimmt auf unserer Seite ein separater Load Balancer, den Onlinewelten / IDG betreibt. Nach Auskunft von Onlinewelten war dieser nicht von diesem Bug betroffen (was sich auch mit den Testergebnissen deckt). Allerdings kommt dieser Load-Balancer erst seit kurzem zum Einsatz. Ob bei dem HTTPS-Server, der zuvor zum Einsatz kam, die fehlerhafte OpenSSL-Routine aktiv war, können wir leider nicht mit Sicherheit sagen, daher können wir auch keine 100%ige Entwarnung geben. Wer auf Nummer sicher gehen will, tut also gut daran, auch hier das Passwort zu ändern.

Avatar
Datum: 11.04.2014 09:54
Avatar
Datum: 11.04.2014 09:56
Danke für die Info, sehr gut!

Und wie das Ganze funktioniert hat, erklärt uns heute auch für Nichtinformatiker ganz großartig xkcd http://xkcd.com/1354/
Ja mata,
Tobias/Galileo
Avatar
Datum: 11.04.2014 10:49
Dankeschön.

Werden die Animexx Serverzertifikate dann auch erneuert?
beati pauperes spiritu
Avatar
Datum: 11.04.2014 16:16
Ouuh, ich seh schon, jetzt werde ich die nächsten paar Male wieder Probleme mit dem Einloggen haben, weil ich das Passwort geändert hab xD
Danke für die Erklärung!
It's too hard to hold hands when your hand's a fist
Datum: 11.04.2014 18:08
 Okona:
> Dankeschön.
>
> Werden die Animexx Serverzertifikate dann auch erneuert?

Das würde mich auch interessieren, denn sonst bringt ein Wechsel der Passwörter recht wenig.
Wir machen jetzt Kultur. Ernsthaft.
Ich präsentiere: Der Animexx-Feuilleton!
Avatar
Datum: 11.04.2014 21:52
Ich hab davon keine Ahnung.

Ist das jetzt von User zu User unterschiedlich von eine Seite sicher ist, oder nicht?
Oder gibts schon ne Art Liste, welche Seiten so im groben sicher sind? x_x
♥ Ich bin manchmal lieb und manchmal böse, aber immer ein Kampf-Uke!!!!♥

†††Real Men Sparkle!†††

♥Breaking Dawn Part 2- 22.November 2012 - Nicht verpassen ♥
Avatar
Datum: 12.04.2014 16:45
FULLMOONCHAN:
> Ich hab davon keine Ahnung.
>
> Ist das jetzt von User zu User unterschiedlich von eine Seite sicher ist, oder nicht?
> Oder gibts schon ne Art Liste, welche Seiten so im groben sicher sind? x_x

Eine (sortierte) Liste gibt es bei mashable.com
Und auf github gibt es eine unsortierte, aber umfangreichere Liste Heartbleed Masstest on github
YuyuSubs - The Place where the M lives
Aktuelle Subs: Nichts
Avatar
Datum: 12.04.2014 21:37
Ich hab heute mal sicherheitshalber alle geändert,auch animexx, wo ich mir sicher bin, dass SSL verwendet wird. also wos offensichtlich ist. x_x
ebay und paypal sind laut ebay safe und nicht betroffen.
das hat mir jedenfalls heute der support erklärt. -_-

ob allerdings schon alle die möglicherweise betroffen waren, die lücke geschloßen haben ist ne andere frage. <_<

ohne animexx wäre mir das ganze entgangen.
also nochmal danke für den weblogeintrag.

♥ Ich bin manchmal lieb und manchmal böse, aber immer ein Kampf-Uke!!!!♥

†††Real Men Sparkle!†††

♥Breaking Dawn Part 2- 22.November 2012 - Nicht verpassen ♥
Avatar
Datum: 12.04.2014 21:45
@FULLMOONCHAN

Das Team von SemperVideo hat auch ein Video veröffentlicht wo die Sache genau und verständlich erklärt wurde.
Die Heartbleed Katastrophe by SemperVideo
YuyuSubs - The Place where the M lives
Aktuelle Subs: Nichts
Avatar
Datum: 14.04.2014 11:01
 Okona:
> Werden die Animexx Serverzertifikate dann auch erneuert?

Inzwischen ja. Zur Referenz: das neue Zertifikat hat die Seriennummer 00:EC:AF:AB:CC:55:EA:11:7C:CC:A2:D7:18:A6:2C:A0:24 , das alte 00:C2:F3:C9:BD:E0:80:FB:DA:4E:E3:6E:9B:EF:DA:9E:95. (Verwirrenderweise steht bei der Gültigkeit immer noch etwas von 2013 drin, aber das bezieht sich wohl auf das Kaufdatum)
Bin hier nur System-Administrator. Am besten einfach ignorieren.


Zum Weblog