• Hallo Gast, du kaufst gerne günstig ein und erfährst oft vor deinen Freunden von interessanten Angeboten? Dann kannst du dein Talent als Schnäppchenjäger jetzt zu Geld machen und anderen PCGH-Lesern beim Sparen helfen! Schau einfach mal rein - beim Test der Community Deals!

OpenSSL @ PCGH ?

U

Uranium-Core

Guest
Ich nehme mal an, da die Webseite und das System dahinter wie vBulletin nicht von PCGamesHardware ist auch die Integration von offener Software bzw. Protokoll kostspielig ist.
 

PCGH_Thilo

Clickbait-Meister
Teammitglied
Hier wäre die Kurzfassung von der IT. Es gibt auch eine Langfassung. :devil:

"Kurzfassung: Auf den Webservern fürs Extreme-Forum ist kein SSL aktiv, also war dort auch nichts ausnutzbar. Auf unseren Main-Seiten konnte der Bug nicht ausgenutzt werden. Unser einziges genutztes SSL-Zertifikat wird grundsätzlich nicht für die Übertragung personenbezogener Daten genutzt."

Aber natürlich gilt: Wenn ihr bei uns Logins nutzt, die ihr auf Problemseiten einsetzt, dann solltet ihr auch bei uns die Passwörter ändern.
 
Zuletzt bearbeitet:

Auerswald

Gesperrt
Android ist betroffen!

Aber wie immer erwähnen das die Massenmedien 0,0 und beim Apple-SSL-Bug haben sie einen rießen Aufstand gemacht, obwohl bei bekanntwerden schon iOS-Updates bereitstanden.

Und android-Nutzer können ja bekanntlich lange auf Softwareupdates warten!
 
TE
TempestX1

TempestX1

Software-Overclocker(in)
"Kurzfassung: Auf den Webservern fürs Extreme-Forum ist kein SSL aktiv, also war dort auch nichts ausnutzbar.
Argh... Stimmt ja. Hätte mir auch auffallen können.

Android ist betroffen!

Aber wie immer erwähnen das die Massenmedien 0,0 und beim Apple-SSL-Bug haben sie einen rießen Aufstand gemacht, obwohl bei bekanntwerden schon iOS-Updates bereitstanden.
Ich lese nur von eventuell 4.1 und 4.1.1

http://www.zdnet.de/88190370/sicherheitsforscher-heartbleed-bug-steckt-auch-android-4-1/
https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector
 
Zuletzt bearbeitet:

Kuhprah

Software-Overclocker(in)
Zeigt mir eine Software die sicher ist .... und ich zeig euch dann das Loch drin :D Wer sicher sein will sollte offline bleiben :devil:
 

Trefoil80

BIOS-Overclocker(in)
Die Auswirkungen der Heartbleed-Lücke kann schon extrem sein.

Wenn der Webserver gerade neu gestartet wurde und noch nicht so lange läuft, liegt der Server-Key im RAM. Wenn man kein PFS (DHE) verwendet, lassen sich im Nachhinein alle Verbindungen entschlüsseln, sofern sie aufgezeichnet wurden.

Bezügl. Android ist mein Kenntnisstand, dass die Versionen <= 4.1.1. betroffen sind.

@PCGH_Thilo
Warum wird denn beim Einloggen in das Forum kein SSL verwendet? Sind Euch die Passwörter Eurer Nutzer nicht so wichtig? Halte ich für erklärungsbedürftig...
 

Cleriker

PCGH-Community-Veteran(in)
Na gut... da kommt dann auch die Frage nach den Daten zum tragen.
Was für Daten hast du so im Profil, womit man was anfangen könnte. Name und Datum sind nicht viel, womit man was anfangen kann. Wäre noch die Email Adresse. Da hast du aber eh andere Passwörter, also auch egal. Dann die pm. Nachrichten mit Kontodaten, Namen und Adressen, gehören schon aus Anstand und Verantwortungsgefühl gegenüber den anderen Usern nicht dauerhaft gespeichert. Also was soll passieren? Dass jemand in deinem Namen postet? Das bekommst du ja sofort mit und alamierst die Moderation, oder Admins.
 

Stern1710

Software-Overclocker(in)
Abe es geht doch allgemein darum ,wie die Passwörter übertragen werden. Unvertschlüsselt bedeutet mehr Risiko, wenn die PWs abgefangen werden. Und ich glaube bei den meißten Usern nicht, das sie ihr aktuelles Passwort nur für PCGH Extreme verwenden.. :/
 

efdev

PCGHX-HWbot-Member (m/w)
ich hoffe zumindest das es die meisten user so handhaben, immerhin sollten die meisten hier doch so "schlau" sein das man nicht immer das selbe PW überall nutzt.
 

Markus_Wollny

Administrator
SSL fürs Login ist zur Zeit nicht geplant, die Integration in die verschiedenen Bereiche und vor allem in VBulletin ist alles andere als trivial. Das Abfangen der übertragenen Login-Daten ist grundsätzlich vor allem bei offenen WLAN-Netzen ein potenzielles Problem - wer das daher als Risiko bewertet sollte evtl. einen VPN-Tunnel verwenden, zumal wir nicht die einzige Community-Seite sind, die kein SSL-Login anbieten. Wir empfehlen dringend, Passwörter nicht auf mehreren Webseiten zu verwenden.

Viele Grüße

Markus
 
Oben Unten