Heartbleed

[Sirius]

Och, mal so halbes Internet kaputt..

http://heartbleed.com/
http://arstechnica.com/security/2014/04 ... sdropping/
http://www.heise.de/newsticker/meldung/ ... 66861.html

Der Bieberlan-Server scheint ja immerhin nicht betroffen zu sein, zumindest fallen diverse Tests entsprechend aus.

Aber trotzdem, was genau läuft da, schon Apache oder?
Und wahrscheinlich auch OpenSSL, oder?

[AngryTomatoe]

Ich gehe einfach mal davon aus, dass der admin die Updates im Blick hat
Und da ich auch insider-infos habe, weiß ich dass Michael am Dienstag morgen rotiert ist und überall updates entsprechend eingespielt hat

Gruß
Sebastian

[dampfklon]

Oder du machst es so wie ich und fährst nur lagacy Software dann gibt auch keine Probeleme

Mit Debian oldstable wär das nicht passiert

[Sirius]

Mit Windows (IIS) wär das nicht passiert..

[Sirius]

Alles muss man hier selbst machen...

HTTP Response Header

Status: HTTP/1.1 200 OK
Date: Thu, 17 Apr 2014 02:59:31 GMT
Server: Apache
X-Powered-By: PHP/5.4.6-1ubuntu1.8
Set-Cookie: PHPSESSID=***[ZENSIERT]***; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 8134
Connection: close
Content-Type: text/html


Also Apache auf Ubuntu?

PS: Ja ich weiß, man kann die Header manuell ausgeben/ändern etc. Deswegen frage ich ja

[DoubleJ]

Deine Session ID solltest du möglicherweise zensieren

[Yenz]

besser löschen

[K3X]

Habe die Session Id voon Sirius doch bereits Zensiert (=gelöscht), oder was meinst du yens ?
Der Rest is ja öffentlich.

Aber da wir einen verantwortungsvollen Admin haben, der Zeitnah geupdatet hat verstehe ich eh nicht so ganz wohin die Diskussion hier hinführen soll ...

Felix

[Yenz]

Ich weiß ja nicht, wo er die header-daten her hat. Und bevor es was wichtiges war, sollte er die Session lieber aufgeben. ID war schließlich sichtbar.
Aber ich kann dir da zustimmen: Um was gehts hier eigentlich?

[Sirius]

Ich weiß ja nicht, wo er die header-daten her hat. Und bevor es was wichtiges war, sollte er die Session lieber aufgeben. ID war schließlich sichtbar.

Was, wer, ich?
Also dafür gibts zig Programme, noch mehr Webdienste und mit den Dev Tools in Chrome und Firefox geht das auch. In anderen Browsern theoretisch auch..

Aber ich kann dir da zustimmen: Um was gehts hier eigentlich?

Ist die Frage jetzt ernst gemeint?

Ehm, joa:
http://lmgtfy.com/?q=heartbleed

Falls wer die letzte Woche in einer Höhle verbracht hat

Ich wollte also lediglich wissen, wie der bieberlan.de Server sein SSL/TLS macht

Wegen der Session ID:
Also ich bin ja kein Experte, aaaaber ich war nicht auf bieberlan.de angemeldet (Forum auch nicht), wenn ich was teste nehme ich dafür extra nen "leeren" Browser, also kein Cache, keine Cookies vorhanden, von daher müsste die Session ID doch AFAIK vollkommen uninterssant sein.
Korrirgiert mich bitte, falls ich falsch liegen sollte

[Yenz]

/close

header-daten woher? -> zig-Programme -> ...mir gings um den konkreten seitenaufruf/domain -> nicht, dass was wichtiges/wertvolles dahinter steckte (bank etc.)
um was gehts überhaupt? -> heartbeat bug -> schon klar -> wir/ich wusste(n) alle nicht, was DU hier genau willst
heartbleed @ BL -> wie schon gesagt -> admin war fleißig und hat gefixt
HTTPS/SSL/TLS @ BL -> entweder du glaubst dem header und es ist wirklich so, oder man will nicht, dass es so einfach herauszufinden ist, dann würde auch kein nachfragen im forum helfen schätz ich mal )
deine vermutung -> neue browser-session -> session id ist wayne -> RIGHT! (vorbildlich)

reichlich will wirr-warr hier, denke aber es ist jetzt alles geclärsed?

[Sirius]

Also, ja, dann ist es klar

Die Antwort war wohl anscheinend etwas im ersten Reply versteckt, zumindest für mich

Michael am Dienstag morgen rotiert ist und überall updates entsprechend eingespielt hat

Das beinhaltet also auch bieberlan.de, war mir erst nicht klar, der macht sowas wahrscheinlich ja öfter.

Gefixt heißt es war also OpenSSL 1.0.1schlagmichtot...

Womit Sven irgendwie doch Recht hat, mit dem alten OpenSSL 0.9.irgendwas wäre man auf der sicheren Seiten gewesen..

Wenn man's vorher halt nur immer schon wüsste