Heartbleed
Heartbleed
Och, mal so halbes Internet kaputt..
http://heartbleed.com/
http://arstechnica.com/security/2014/04 ... sdropping/
http://www.heise.de/newsticker/meldung/ ... 66861.html
Der Bieberlan-Server scheint ja immerhin nicht betroffen zu sein, zumindest fallen diverse Tests entsprechend aus.
Aber trotzdem, was genau läuft da, schon Apache oder?
Und wahrscheinlich auch OpenSSL, oder?
http://heartbleed.com/
http://arstechnica.com/security/2014/04 ... sdropping/
http://www.heise.de/newsticker/meldung/ ... 66861.html
Der Bieberlan-Server scheint ja immerhin nicht betroffen zu sein, zumindest fallen diverse Tests entsprechend aus.
Aber trotzdem, was genau läuft da, schon Apache oder?
Und wahrscheinlich auch OpenSSL, oder?
- AngryTomatoe
- BieberLAN-Team
- Beiträge: 539
- Registriert: 23.02.2009, 13:41
- Wohnort: Rödermark
- Kontaktdaten:
Re: Heartbleed
Ich gehe einfach mal davon aus, dass der admin die Updates im Blick hat
Und da ich auch insider-infos habe, weiß ich dass Michael am Dienstag morgen rotiert ist und überall updates entsprechend eingespielt hat
Gruß
Sebastian
Und da ich auch insider-infos habe, weiß ich dass Michael am Dienstag morgen rotiert ist und überall updates entsprechend eingespielt hat
Gruß
Sebastian
Re: Heartbleed
Oder du machst es so wie ich und fährst nur lagacy Software dann gibt auch keine Probeleme
Mit Debian oldstable wär das nicht passiert
Mit Debian oldstable wär das nicht passiert
> Deine Emails tragen hier nix mehr zum Thema bei [...].
Ja, ist mir bewusst; ich antworte allerdings auf Emails die ebenfalls nichts zum Thema beitragen
Ja, ist mir bewusst; ich antworte allerdings auf Emails die ebenfalls nichts zum Thema beitragen
Re: Heartbleed
Alles muss man hier selbst machen...
HTTP Response Header
Status: HTTP/1.1 200 OK
Date: Thu, 17 Apr 2014 02:59:31 GMT
Server: Apache
X-Powered-By: PHP/5.4.6-1ubuntu1.8
Set-Cookie: PHPSESSID=***[ZENSIERT]***; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 8134
Connection: close
Content-Type: text/html
Also Apache auf Ubuntu?
PS: Ja ich weiß, man kann die Header manuell ausgeben/ändern etc. Deswegen frage ich ja
HTTP Response Header
Status: HTTP/1.1 200 OK
Date: Thu, 17 Apr 2014 02:59:31 GMT
Server: Apache
X-Powered-By: PHP/5.4.6-1ubuntu1.8
Set-Cookie: PHPSESSID=***[ZENSIERT]***; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 8134
Connection: close
Content-Type: text/html
Also Apache auf Ubuntu?
PS: Ja ich weiß, man kann die Header manuell ausgeben/ändern etc. Deswegen frage ich ja
Re: Heartbleed
Habe die Session Id voon Sirius doch bereits Zensiert (=gelöscht), oder was meinst du yens ?
Der Rest is ja öffentlich.
Aber da wir einen verantwortungsvollen Admin haben, der Zeitnah geupdatet hat verstehe ich eh nicht so ganz wohin die Diskussion hier hinführen soll ...
Felix
Der Rest is ja öffentlich.
Aber da wir einen verantwortungsvollen Admin haben, der Zeitnah geupdatet hat verstehe ich eh nicht so ganz wohin die Diskussion hier hinführen soll ...
Felix
Re: Heartbleed
Ich weiß ja nicht, wo er die header-daten her hat. Und bevor es was wichtiges war, sollte er die Session lieber aufgeben. ID war schließlich sichtbar.
Aber ich kann dir da zustimmen: Um was gehts hier eigentlich?
Aber ich kann dir da zustimmen: Um was gehts hier eigentlich?
Re: Heartbleed
Was, wer, ich?Yenz hat geschrieben:Ich weiß ja nicht, wo er die header-daten her hat. Und bevor es was wichtiges war, sollte er die Session lieber aufgeben. ID war schließlich sichtbar.
Also dafür gibts zig Programme, noch mehr Webdienste und mit den Dev Tools in Chrome und Firefox geht das auch. In anderen Browsern theoretisch auch..
Ist die Frage jetzt ernst gemeint?Yenz hat geschrieben: Aber ich kann dir da zustimmen: Um was gehts hier eigentlich?
Ehm, joa:
http://lmgtfy.com/?q=heartbleed
Falls wer die letzte Woche in einer Höhle verbracht hat
Ich wollte also lediglich wissen, wie der bieberlan.de Server sein SSL/TLS macht
Wegen der Session ID:
Also ich bin ja kein Experte, aaaaber ich war nicht auf bieberlan.de angemeldet (Forum auch nicht), wenn ich was teste nehme ich dafür extra nen "leeren" Browser, also kein Cache, keine Cookies vorhanden, von daher müsste die Session ID doch AFAIK vollkommen uninterssant sein.
Korrirgiert mich bitte, falls ich falsch liegen sollte
Re: Heartbleed
/close
header-daten woher? -> zig-Programme -> ...mir gings um den konkreten seitenaufruf/domain -> nicht, dass was wichtiges/wertvolles dahinter steckte (bank etc.)
um was gehts überhaupt? -> heartbeat bug -> schon klar -> wir/ich wusste(n) alle nicht, was DU hier genau willst
heartbleed @ BL -> wie schon gesagt -> admin war fleißig und hat gefixt
HTTPS/SSL/TLS @ BL -> entweder du glaubst dem header und es ist wirklich so, oder man will nicht, dass es so einfach herauszufinden ist, dann würde auch kein nachfragen im forum helfen schätz ich mal )
deine vermutung -> neue browser-session -> session id ist wayne -> RIGHT! (vorbildlich)
reichlich will wirr-warr hier, denke aber es ist jetzt alles geclärsed?
header-daten woher? -> zig-Programme -> ...mir gings um den konkreten seitenaufruf/domain -> nicht, dass was wichtiges/wertvolles dahinter steckte (bank etc.)
um was gehts überhaupt? -> heartbeat bug -> schon klar -> wir/ich wusste(n) alle nicht, was DU hier genau willst
heartbleed @ BL -> wie schon gesagt -> admin war fleißig und hat gefixt
HTTPS/SSL/TLS @ BL -> entweder du glaubst dem header und es ist wirklich so, oder man will nicht, dass es so einfach herauszufinden ist, dann würde auch kein nachfragen im forum helfen schätz ich mal )
deine vermutung -> neue browser-session -> session id ist wayne -> RIGHT! (vorbildlich)
reichlich will wirr-warr hier, denke aber es ist jetzt alles geclärsed?
Re: Heartbleed
Also, ja, dann ist es klar
Die Antwort war wohl anscheinend etwas im ersten Reply versteckt, zumindest für mich
Gefixt heißt es war also OpenSSL 1.0.1schlagmichtot...
Womit Sven irgendwie doch Recht hat, mit dem alten OpenSSL 0.9.irgendwas wäre man auf der sicheren Seiten gewesen..
Wenn man's vorher halt nur immer schon wüsste
Die Antwort war wohl anscheinend etwas im ersten Reply versteckt, zumindest für mich
Das beinhaltet also auch bieberlan.de, war mir erst nicht klar, der macht sowas wahrscheinlich ja öfter.Michael am Dienstag morgen rotiert ist und überall updates entsprechend eingespielt hat
Gefixt heißt es war also OpenSSL 1.0.1schlagmichtot...
Womit Sven irgendwie doch Recht hat, mit dem alten OpenSSL 0.9.irgendwas wäre man auf der sicheren Seiten gewesen..
Wenn man's vorher halt nur immer schon wüsste