Heartbleed?
 

Gibt es seitens der IT eine Aussage ob die Forumssoftware vom OpenSSL Problem betroffen war, ob man also vorsorglich seine PW aendern sollte?

edit ddd:
Der Forenserver verwendet KEIN SSL und ist daher NICHT von der sogenannten heartbleed-Lücke betroffen. Auch alle anderen von aussen erreichbaren Dienste auf dem Server sind NICHT betroffen.

... und die "Passwortdiebe" tun dann hier was?

Da das Forum nicht über SSL-Verbindungen läuft (https://) dürfte es nicht betroffen sein.

Wenn das Leben immer so einfach wäre....:roll: betroffen sind auch SSH und SFTP Implementierungen. Ob das Forum solche verwendet, entzieht sich wohl unserer allgemeinen Kenntnis und kann nur vom OPS-Team beantwortet werden.

meshua

Kann man checken.
http://filippo.io/Heartbleed/

.

Der Check sagt ja nur etwas über den Status zum Zeitpunkt des Checks aus (also eventuell nach Update), nichts aber was davor war.

@Oldy: Passwörter können an anderer Stelle missbraucht werden falls sie doppelt vergeben wurden (was nicht gut wäre aber sehr oft gemacht wird). Mindestens ist aber eventuell die Internet-Identität geklaut.

Ich kann nur sagen - habe Mittwoch Abend meinen Provider angerufen, und siehe da - er hat bei einigen Linux-Servern (nicht bei unserem) Updates eingespielt. Auf Arbeit haben wir eine Liste welche Logins definitiv betroffen waren und die PW zu ändern sind (z.B. Amazon, Facebook, GOOGLE, YAHOO ...).
Wer ne Synology NAS betreibt sollte auch das Update von Freitag früh einspielen. Und mit Opera browsen ist erst mal passé...

Allerdings sollten Synology Nutzer mit einer DS112j, DS211j oder RS214 erstmal auf das Update verzichten, Synology hat einen mächtigen Bug eingebaut. http://www.golem.de/news/synology-ds...04-105796.html

So einfach ist es nicht; Frage an die IT
 

Habe nochmal nachgefragt. Also: Es genügt, wenn irgendeine https: - Kommunikation des Forum-Servers stattgefunden hat.
Das Eine ist die Verbindung des Forumsmitglieds mit dem Server, da ist http: unschädlich. Der Server wäre praktisch "infiziert" wenn er nur irgendwo anders hin https: kommuniziert; das kann z.B. im Rahmen von IT-Servicemaßnahmen der Fall gewesen sein.

Woher wohl bekommen Datendiebe Millionen E-Mail Adressen wenn nicht von "undichten" / gehackten Servern?

Möchte deshalb die IT-Verantwortlichen dieses Forums um Auskunft bitten: War die betreffende Softwareversion im Einsatz?

Sinnvoll wäre es vielleicht vorsorglich alle Passwörter zu ändern anstatt zu lamentieren und lange nachzuforschen. So ein Wahnsinns Akt ist ist das nicht.

Oh Mann, ihr kennt euch aber echt gut aus Jungs, was?
Jetzt werft ihr mal Google an und informiert euch über den Unterschied von SSL zu MD5! Mit MD5 werden eure Passwörter in der Forums Datenbank gespeichert, zusätzlich erhalten sie einen Salt. SSL war/ist in Teilen unsicher, das betrifft in diesem Forum aber die SSH Sitzung des Administrators und die sFTP Übertragung. Selbst wenn da die Userdatenbank abgezogen worden wäre, ständen die Passwörter in MD5 mit Salt drin.
So, und in der Zeit in der ihr euch hier "Sorgen" macht hätte jeder schon dreimal sein Passwort ändern können, oder nicht?
Basti