SPIEGEL-ONLINE 11. April 2014, 12:52 Uhr
Heartbleed
Sicherheitslücke könnte bereits ausgenützt worden sein
Damit Dienste, die über gesicherte Verbindungen Daten austauschen, wirklich wieder sicher sind, müssen die Nutzer zusätzlich ihre Passwörter ändern. Zu erkennen sind solche Dienste an dem "https" links oben in der Adresszeile des Browsers.
Herr Reißmann, wären sie in der Lage, uns diesen Satz, also was er uns sagen soll, zu erklären? Wir verstehen nichts, aber auch gar nichts von dem, was sie da aufgeschrieben haben.
Jenen Mitbürgern, denen es auch so geht, geben wir eine kleine Notfallpackung mit auf den Weg. Wir versuchen, den Blödsinn zu entschlüssen.
Es geht also um Dienste (services), nicht um Geheimdienste, sondern Software, die auf Computern läuft und untertänigst ihren Dienst anbietet. Da gibt es eine ganze Menge. Ein paar wenige, mit denen wir zu tun haben, seien erwähnt. DNS, löst IP-Adressen zu namen auf. Spooler-Service, das ist der Druckdienst, der unsere Urlaubsbilder zu Papier bringt. Bonjour-Service, Dienst, um Geräte von Apple miteinander zu begrüßen. Anmeldedienst, ist der Türsteher, der überprüft, ob jemand befugt ist, den Computer zu nutzen. Er prüft übrigens nicht das Gesicht, sondern ausschließlich, ob jemand einen korrekten Ausweis mit sich führt. Das Paßbild auf dem Ausweis ist herzlich egal, Hauptsache Name und Nummer stimmen.
Wir lassen es mal an der Stelle, denn bereits die wenigen Beispiele zeigen, daß der erste Satz der Aussage Nonsens ist. Auch der zweite ist gleich des Transports von Blödsinn überführt, denn keiner dieser Dienste weist sich durch ein https links oben in der Adreßzeile des Browser aus. Jetzt kommt das vertrackte. Es gibt Dienste, die weisen sich mit einem https aus, sind aber keineswegs sicher, dann gibt es welche, denen wird Unsicherheit zugetraut, weswegen man auf eigenes Risiko entscheiden soll, ob sie per https anzusurfen seien oder nicht.
Um was handelt es sich also bei https? Das ist endlich mal eine Frage, die leicht zu beantworten ist. HyperText Transfere Protocol Secure. Es handelt sich um ein sicheres Transportprotokoll für Hypertext. Das ist alles. SSH, SFTP (SSH-FTP) oder SCP sind ebenfalls Protokolle bzw. Dienste, bei denen Daten gesichert übermittelt werden. Sie tauchen in der Vorstellungswelt eines Ole Reißmann jedoch gar nicht erst auf, sind rein theoretisch jedoch genauso betroffen, so sie auf die fehlerhafte Open-SSL-Version aufsetzen.
Nix da von Anzeige https im Browser, wenn diese Dienste genutzt werden.
Wir selber können auch nur Fernraten, was Herr Reißmann der Mitwelt kundgeben wollte. Möglicherweise, daß ein klitzekleiner Teil der Daten aus dem Internet via Browser konsumiert wird, davon wiederum landet ein Teil per gesicherten Transport auf den heimischen Rechner. Das ist aber nicht das Internet, das sind nicht die Dienste, das ist kein Grund, seine Paßwörter zu ändern.
https ist eine Angelegenheit, die zwischen Webserver und Browser ausgehandelt wird. Der Nutzer wird nur gefragt, wenn der Browserhersteller wie im Falle Fefe der Meinung ist, der sei ein Unsicherheitsfaktor. Die Änderung, Eingabe oder Schöpfung eines Paßwortes ist für diesen Vorgang bisher nicht erforderlich.
Das alles ergibt nur einen Sinn: Der Arbeitgeber von Ole sollte etwas Geld in die Hand nehmen, EU-Fördermittel einwerben und Herrn Reißmann eine grundsolide Fortbildung spendieren. Das löst die Probleme auch nicht, verhindert aber über einen gewissen Zeitraum weitere Publikationen dieses niederen Niveaus.
Ein Schmankerl sei erst am Schluß erwähnt.
Im April 2014 äußerte von Leitner in seinem Blog den Verdacht, der Heartbleed-Bug könnte eine durch den Programmierer absichtlich eingebaute Backdoor sein.[26]
So steht es aktuell in der Lügipedia. Und nun darf jeder raten, wer unter der Nummer 26 als Kronzeugin der Anklage herhält.
Um es im Sinne Herrn von Leitners zu sagen.
Deutscher Online-Journalismus sieht aus wie Scheiße, hat die Konsistenz wie Scheiße, stinkt wie Scheiße. Eine Leseprobe des Spiegel kann man sich somit ersparen.
[update 16:40]
SPIEGEL-ONLINE 11. April 2014, 16:13 Uhr
Heartbleed-Risiko
Warum wir alle einen Passwort-Manager brauchen
Nein, Herr Reißmann, auch wenn sie der Meinung sind, für uns alle Entscheidungen treffen zu müssen. Auch Paßwortmanager brauchen wir nicht. Schon gar nicht alle. Die in der Blogredaktion tätigen Bürger verlassen sich lieber auf ihr eigenes IT-Know-How denn ihre schlechten Ratschläge.
Oder meinten sie sich selber und ihre Kumpel beim Spiegel? Das glauben wir dann wieder gerne, denn Deppen brauchen sowas.
Es ist allerdinsg weitaus schlimmer, als bisher dargestellt. Auch Cristian Stöcker, der bisher als eher überlegender Publizist bekannt war, bläst ins Alarmhorn und will uns grundlos Angst einjagen.
SPIEGEL-ONLINE 11. April 2014, 16:31 Uhr
Internet-Sicherheitslücke Heartbleed
Ändern Sie Ihre Passwörter. Jetzt!
Herr Stöcker, wenn ich justamente, also jetzt, bei einem Internetservice mein Paßwort ändere, wo der Betreiber den Fehler noch nicht geschlossen hat und in genau diesem Augenblick der Edward Snowden seinen neue Powerpoint-Folie malt, dann bin ich am Arsch, denn dann hat die NSA das rausgekriegt, weil ja mit dem Fehler ein Scheunentor offensteht.
Weiter im Text.
Die Heartbleed-Sicherheitslücke gefährdet, grob geschätzt, so ziemlich jeden Internetnutzer.
Oha, und wie?
Theoretisch.
Theoretisch ist uninterssaant. Wie gefährlich ist das in der Praxis, das ist die einzig relevante Frage.
Die Lücke könnten böswillige Angreifer genutzt haben, um bei Dutzenden der größten Web-Dienste Daten abzusaugen, in denen beispielsweise Passwörter enthalten sind.
Könnten oder haben sie? Sie könnten aber auch ein Eis essen gewesen sein.
Wie genau das funktioniert, lesen Sie hier.
Leider erfahren wir nicht nur nicht genau, auch nicht ungenau, nicht mal ansatzweise in dem auf ein Ole-Reißman-Papier verlinkten Artikel, wie es funktioniert.
Herr Stöcker ist tief gesunken.
