Samstag, April 12, 2014

Das Blutende Herz

Auf xkcd.com wird der Heartbleed-Bug von OpenSSL wunderbar erklärt.

Ich fasse das nochmal in meinen Worten zusammen:
Wenn der Server von der Lücke betroffen ist, dann geht folgendes:

  • Man kann eine verschlüsselte Verbindung zu einem Server aufbauen
  • Während der Verbindung kann man eine so genannte Heartbeat-Funktion nutzen, um zu prüfen, ob der Server noch antwortet.
  • Hierzu kann der eigene Rechner dem Server eine vorgegebene Antwort schicken, à la “wenn du noch da bist, dann antworte mit ‘HUND’”
  • die Lücke erlaubt es, dem Server zu sagen, er soll mit ‘HUND’ (500 Zeichen lang) antworten. Und in diesen 496 Zeichen stehen unter Umständen Dinge, die nur den Server und andere Menschen was angehen.

Aus dem “schlagenden Herz” ist so das “blutende Herz” geworden.

Wenn ihr eine technisch genauere Erklärung lesen wollt, lege ich euch Heise-Security ans Herz.

Bevor ihr nun in blinden Passwort-Änder-Aktionismus ausbrecht, schaut aber erstmal nach, ob die Webseite von dem Bug betroffen war.
Dann darf man nicht vergessen, dass es die Lücke schon seit JAHREN gab. Gerade jetzt zu ändern, und nur weil es die B1LD schreibt, ergibt da wenig Sinn.
Unbestreitbar ist es aber eine gute Idee, Passwörter von Zeit zu Zeit zu ändern. Wenn man dabei die empfohlenen Grundregeln einhält (Kein Wort aus dem Wörterbuch, Buchstaben in Groß und Klein, Zahlen und Sonderzeichen), tut man das maximal mögliche.

xkcd_heartbleed_explanation.png

(Link zum XKCD-Beitrag: http://xkcd.com/1354)