Forum: Netzwelt
Noch 300.000 Server betroffen: Sicherheitslücke Heartbleed nimmt kein Ende
[M] DPA

Drei Monate nach Bekanntwerden sind 300.000 Internet-Server noch immer von der Heartbleed-Sicherheitslücke betroffen. Nach Meinung eines Sicherheitsexperten wird sich das auch in den nächsten zehn Jahren kaum ändern.

citizengun 23.06.2014, 16:43
1.

Ärgerlich ist gar nicht dass es diesen Fehler gibt, sondern wie sehr offensichtlich er ins Auge sticht. Die Bloomberg-Nachricht glaube ich gern, denn wer den ganzen Tag nichts anderes tut als solche Fehler zu suchen, der findet diese auch. Für den Geheimdienst sicher ein lohnenends Geschäft, in das er gerne investiert. Um so schlimmer dass viele Grossunternehmen den Code einsetzen ohne überhaupt etwas dafür zu leisten. Selbst Kleckerbeträge für Codereviews werden dem Gewinn geopfert.

Glücklicherweise sieht es bei Closed-Sorce noch viel übler aus, denn die Entwickler dort müssen sich nur selbst schämen. Den Quellcode sieht keiner und alles was zählt ist die laufende Visualisierung.

Beitrag melden Antworten / Zitieren
thoscha 24.06.2014, 06:08
2. Da kommt noch mehr...!

Heartbleed..? Da muß einem ja das Herz bluten, bei soviel Dummheit und Ignoranz. Aber das ist noch lange nicht das Ende der Fahnenstange. Es gibt noch ein paar Fehler - dagegen ist Heartbleed ein Witz.An den Schnitt-stellen dieser Progs kann man mit entsprechender Saft -ware Daten generieren bis zum St. Nimmerleins Tag.

Beitrag melden Antworten / Zitieren
Bernd.Brincken 24.06.2014, 18:20
3. Schlußfolgerungen

Die Schlußfolgerungen in dem Artikel und in dem verlinkten Text sind aber etwas überzogen. So vermutet Graham "people have stopped even trying to patch".
Plausibel ist doch eher, dass die Betreiber dieser Server sich nicht für die openSSL-Lücke interessieren, vielleicht weil die Software zwar auf ihren Servern installiert ist - wie auf den meisten Linux/Posix-Systemen - aber keine relevanten Prozesse diese nutzen.

Auch die Formel "Wer davon wusste, konnte Anfang April theoretisch an sensible Informationen bei großen Diensten wie Facebook, Yahoo, Google und etlichen anderen gelangen" ist etwas irreführend.
Verschlüsselt werden ja immer mehr Dienste, ganz unabhängig davon wie sensibel die Daten sind, und das ist auch gut so.
Früher gab es das Argument, Webseiten-Verschlüsselung würde Rechenzeit kosten, das ist bei der Performance heutiger Multicore-Systeme kaum haltbar.
Umgekehrt ist es angezeigt, stets alle Datenströme zu verschlüsseln, damit die Unterscheidungskraft, dass verschlüsselte Daten eher wertvoll seien, wegfällt.
Das gilt natürlich auch für Web-Foren.

Beitrag melden Antworten / Zitieren