SonyUserforum

Butsu · 11.04.2014, 22:08

Gibt es seitens der IT eine Aussage ob die Forumssoftware vom OpenSSL Problem betroffen war, ob man also vorsorglich seine PW aendern sollte?

edit ddd:
Der Forenserver verwendet KEIN SSL und ist daher NICHT von der sogenannten heartbleed-Lücke betroffen. Auch alle anderen von aussen erreichbaren Dienste auf dem Server sind NICHT betroffen.

Oldy · 11.04.2014, 22:15

Zitat:

Zitat von Butsu

Gibt es seitens der IT eine Aussage ob die Forumssoftware vom OpenSSL Problem betroffen war, ob man also vorsorglich seine PW aendern sollte?

... und die "Passwortdiebe" tun dann hier was?

Dreamdancer77 · 11.04.2014, 22:18

Da das Forum nicht über SSL-Verbindungen läuft (https://) dürfte es nicht betroffen sein.

meshua · 11.04.2014, 22:36

Zitat:

Zitat von Dreamdancer77

Da das Forum nicht über SSL-Verbindungen läuft (https://) dürfte es nicht betroffen sein.

Wenn das Leben immer so einfach wäre....

betroffen sind auch SSH und SFTP Implementierungen. Ob das Forum solche verwendet, entzieht sich wohl unserer allgemeinen Kenntnis und kann nur vom OPS-Team beantwortet werden.

meshua

a1000 · 11.04.2014, 23:11

Kann man checken.
http://filippo.io/Heartbleed/

.

Butsu · 12.04.2014, 06:17

Der Check sagt ja nur etwas über den Status zum Zeitpunkt des Checks aus (also eventuell nach Update), nichts aber was davor war.

@Oldy: Passwörter können an anderer Stelle missbraucht werden falls sie doppelt vergeben wurden (was nicht gut wäre aber sehr oft gemacht wird). Mindestens ist aber eventuell die Internet-Identität geklaut.

Ich kann nur sagen - habe Mittwoch Abend meinen Provider angerufen, und siehe da - er hat bei einigen Linux-Servern (nicht bei unserem) Updates eingespielt. Auf Arbeit haben wir eine Liste welche Logins definitiv betroffen waren und die PW zu ändern sind (z.B. Amazon, Facebook, GOOGLE, YAHOO ...).
Wer ne Synology NAS betreibt sollte auch das Update von Freitag früh einspielen. Und mit Opera browsen ist erst mal passé...

Dreamdancer77 · 12.04.2014, 07:03

Allerdings sollten Synology Nutzer mit einer DS112j, DS211j oder RS214 erstmal auf das Update verzichten, Synology hat einen mächtigen Bug eingebaut. http://www.golem.de/news/synology-ds...04-105796.html

Butsu · 12.04.2014, 21:16

Habe nochmal nachgefragt. Also: Es genügt, wenn irgendeine https: - Kommunikation des Forum-Servers stattgefunden hat.
Das Eine ist die Verbindung des Forumsmitglieds mit dem Server, da ist http: unschädlich. Der Server wäre praktisch "infiziert" wenn er nur irgendwo anders hin https: kommuniziert; das kann z.B. im Rahmen von IT-Servicemaßnahmen der Fall gewesen sein.

Woher wohl bekommen Datendiebe Millionen E-Mail Adressen wenn nicht von "undichten" / gehackten Servern?

Möchte deshalb die IT-Verantwortlichen dieses Forums um Auskunft bitten: War die betreffende Softwareversion im Einsatz?

Schranzie · 12.04.2014, 22:52

Sinnvoll wäre es vielleicht vorsorglich alle Passwörter zu ändern anstatt zu lamentieren und lange nachzuforschen. So ein Wahnsinns Akt ist ist das nicht.

Basti · 13.04.2014, 09:06

Oh Mann, ihr kennt euch aber echt gut aus Jungs, was?
Jetzt werft ihr mal Google an und informiert euch über den Unterschied von SSL zu MD5! Mit MD5 werden eure Passwörter in der Forums Datenbank gespeichert, zusätzlich erhalten sie einen Salt. SSL war/ist in Teilen unsicher, das betrifft in diesem Forum aber die SSH Sitzung des Administrators und die sFTP Übertragung. Selbst wenn da die Userdatenbank abgezogen worden wäre, ständen die Passwörter in MD5 mit Salt drin.
So, und in der Zeit in der ihr euch hier "Sorgen" macht hätte jeder schon dreimal sein Passwort ändern können, oder nicht?
Basti

11.04.2014, 22:08	#1
Butsu Registriert seit: 11.01.2012 Ort: Dresden Beiträge: 1.163	Heartbleed? Gibt es seitens der IT eine Aussage ob die Forumssoftware vom OpenSSL Problem betroffen war, ob man also vorsorglich seine PW aendern sollte? edit ddd: Der Forenserver verwendet KEIN SSL und ist daher NICHT von der sogenannten heartbleed-Lücke betroffen. Auch alle anderen von aussen erreichbaren Dienste auf dem Server sind NICHT betroffen. Geändert von ddd (13.04.2014 um 23:03 Uhr) Grund: statement eingefügt

11.04.2014, 22:18	#3
Dreamdancer77 Registriert seit: 27.06.2011 Ort: Zwenkau Beiträge: 1.016	Da das Forum nicht über SSL-Verbindungen läuft (https://) dürfte es nicht betroffen sein. __________________ Gruß Mario Demokratie ist, wenn sich zwei Wölfe und ein Schaf am Tag darüber unterhalten, was es am Abend zum Essen gibt. (Thomas Jefferson) Flickr Alben

11.04.2014, 23:11	#5
a1000 abgemeldet Registriert seit: 03.08.2011 Ort: NRW Beiträge: 1.881	Kann man checken. http://filippo.io/Heartbleed/ . __________________ ___

12.04.2014, 07:03	#7
Dreamdancer77 Registriert seit: 27.06.2011 Ort: Zwenkau Beiträge: 1.016	Allerdings sollten Synology Nutzer mit einer DS112j, DS211j oder RS214 erstmal auf das Update verzichten, Synology hat einen mächtigen Bug eingebaut. http://www.golem.de/news/synology-ds...04-105796.html __________________ Gruß Mario Demokratie ist, wenn sich zwei Wölfe und ein Schaf am Tag darüber unterhalten, was es am Abend zum Essen gibt. (Thomas Jefferson) Flickr Alben

12.04.2014, 21:16	#8
Butsu Themenersteller Registriert seit: 11.01.2012 Ort: Dresden Beiträge: 1.163	So einfach ist es nicht; Frage an die IT Habe nochmal nachgefragt. Also: Es genügt, wenn irgendeine https: - Kommunikation des Forum-Servers stattgefunden hat. Das Eine ist die Verbindung des Forumsmitglieds mit dem Server, da ist http: unschädlich. Der Server wäre praktisch "infiziert" wenn er nur irgendwo anders hin https: kommuniziert; das kann z.B. im Rahmen von IT-Servicemaßnahmen der Fall gewesen sein. Woher wohl bekommen Datendiebe Millionen E-Mail Adressen wenn nicht von "undichten" / gehackten Servern? Möchte deshalb die IT-Verantwortlichen dieses Forums um Auskunft bitten: War die betreffende Softwareversion im Einsatz?

12.04.2014, 06:17	#6
Butsu Themenersteller Registriert seit: 11.01.2012 Ort: Dresden Beiträge: 1.163	Der Check sagt ja nur etwas über den Status zum Zeitpunkt des Checks aus (also eventuell nach Update), nichts aber was davor war. @Oldy: Passwörter können an anderer Stelle missbraucht werden falls sie doppelt vergeben wurden (was nicht gut wäre aber sehr oft gemacht wird). Mindestens ist aber eventuell die Internet-Identität geklaut. Ich kann nur sagen - habe Mittwoch Abend meinen Provider angerufen, und siehe da - er hat bei einigen Linux-Servern (nicht bei unserem) Updates eingespielt. Auf Arbeit haben wir eine Liste welche Logins definitiv betroffen waren und die PW zu ändern sind (z.B. Amazon, Facebook, GOOGLE, YAHOO ...). Wer ne Synology NAS betreibt sollte auch das Update von Freitag früh einspielen. Und mit Opera browsen ist erst mal passé...

12.04.2014, 22:52	#9
Schranzie Registriert seit: 17.05.2013 Ort: Konstanz Beiträge: 322	Sinnvoll wäre es vielleicht vorsorglich alle Passwörter zu ändern anstatt zu lamentieren und lange nachzuforschen. So ein Wahnsinns Akt ist ist das nicht. __________________ 500px Beste Grüße, Ollie

13.04.2014, 09:06	#10
Basti Registriert seit: 07.09.2003 Beiträge: 10.025	Oh Mann, ihr kennt euch aber echt gut aus Jungs, was? Jetzt werft ihr mal Google an und informiert euch über den Unterschied von SSL zu MD5! Mit MD5 werden eure Passwörter in der Forums Datenbank gespeichert, zusätzlich erhalten sie einen Salt. SSL war/ist in Teilen unsicher, das betrifft in diesem Forum aber die SSH Sitzung des Administrators und die sFTP Übertragung. Selbst wenn da die Userdatenbank abgezogen worden wäre, ständen die Passwörter in MD5 mit Salt drin. So, und in der Zeit in der ihr euch hier "Sorgen" macht hätte jeder schon dreimal sein Passwort ändern können, oder nicht? Basti

Sponsored Links

Sponsored Links

Sponsored Links