OpenSSL @ PCGH ?

TempestX1 · 11. April 2014

Hi. Wollte mal nachfragen ob PCGH bzw. das Computec Netzwerk (PCG,PCGH,SFT etc.) auch von dem OpenSSL Bug betroffen ist/betroffen war und falls ja ob bereits die Zertifikate ausgetauscht sind.

Würde mich über eine kurze Rückmeldung freuen.

http://www.heise.de/security/meldun...Luecke-mit-katastrophalen-Folgen-2166861.html

mattinator · 11. April 2014

Sind doch hier im Forum und auf pcgh.de keine verschlüsselten Seiten oder (https://www.pcgameshardware.de/) ?

Trefoil80 · 11. April 2014

Jo, kein SSL. Kein Heartbleed.

Die Frage ist allerdings, warum nicht zumindest während des Logins SSL verwendet wird...

Uranium-Core · 11. April 2014

Ich nehme mal an, da die Webseite und das System dahinter wie vBulletin nicht von PCGamesHardware ist auch die Integration von offener Software bzw. Protokoll kostspielig ist.

marvinj · 11. April 2014

Möglich ist das ...

PCGH_Thilo · 11. April 2014

Hier wäre die Kurzfassung von der IT. Es gibt auch eine Langfassung.

"Kurzfassung: Auf den Webservern fürs Extreme-Forum ist kein SSL aktiv, also war dort auch nichts ausnutzbar. Auf unseren Main-Seiten konnte der Bug nicht ausgenutzt werden. Unser einziges genutztes SSL-Zertifikat wird grundsätzlich nicht für die Übertragung personenbezogener Daten genutzt."

Aber natürlich gilt: Wenn ihr bei uns Logins nutzt, die ihr auf Problemseiten einsetzt, dann solltet ihr auch bei uns die Passwörter ändern.

Auerswald · 11. April 2014

Android ist betroffen!

Aber wie immer erwähnen das die Massenmedien 0,0 und beim Apple-SSL-Bug haben sie einen rießen Aufstand gemacht, obwohl bei bekanntwerden schon iOS-Updates bereitstanden.

Und android-Nutzer können ja bekanntlich lange auf Softwareupdates warten!

TempestX1 · 11. April 2014

PCGH_Thilo schrieb:
"Kurzfassung: Auf den Webservern fürs Extreme-Forum ist kein SSL aktiv, also war dort auch nichts ausnutzbar.

Argh... Stimmt ja. Hätte mir auch auffallen können.

Auerswald schrieb:
Android ist betroffen!

Aber wie immer erwähnen das die Massenmedien 0,0 und beim Apple-SSL-Bug haben sie einen rießen Aufstand gemacht, obwohl bei bekanntwerden schon iOS-Updates bereitstanden.

Ich lese nur von eventuell 4.1 und 4.1.1

http://www.zdnet.de/88190370/sicherheitsforscher-heartbleed-bug-steckt-auch-android-4-1/
https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector

Kuhprah · 11. April 2014

Zeigt mir eine Software die sicher ist .... und ich zeig euch dann das Loch drin

Wer sicher sein will sollte offline bleiben

Trefoil80 · 12. April 2014

Die Auswirkungen der Heartbleed-Lücke kann schon extrem sein.

Wenn der Webserver gerade neu gestartet wurde und noch nicht so lange läuft, liegt der Server-Key im RAM. Wenn man kein PFS (DHE) verwendet, lassen sich im Nachhinein alle Verbindungen entschlüsseln, sofern sie aufgezeichnet wurden.

Bezügl. Android ist mein Kenntnisstand, dass die Versionen <= 4.1.1. betroffen sind.

@PCGH_Thilo
Warum wird denn beim Einloggen in das Forum kein SSL verwendet? Sind Euch die Passwörter Eurer Nutzer nicht so wichtig? Halte ich für erklärungsbedürftig...

Cleriker · 12. April 2014

Na gut... da kommt dann auch die Frage nach den Daten zum tragen.
Was für Daten hast du so im Profil, womit man was anfangen könnte. Name und Datum sind nicht viel, womit man was anfangen kann. Wäre noch die Email Adresse. Da hast du aber eh andere Passwörter, also auch egal. Dann die pm. Nachrichten mit Kontodaten, Namen und Adressen, gehören schon aus Anstand und Verantwortungsgefühl gegenüber den anderen Usern nicht dauerhaft gespeichert. Also was soll passieren? Dass jemand in deinem Namen postet? Das bekommst du ja sofort mit und alamierst die Moderation, oder Admins.

Stern1710 · 14. April 2014

Abe es geht doch allgemein darum ,wie die Passwörter übertragen werden. Unvertschlüsselt bedeutet mehr Risiko, wenn die PWs abgefangen werden. Und ich glaube bei den meißten Usern nicht, das sie ihr aktuelles Passwort nur für PCGH Extreme verwenden.. :/

efdev · 14. April 2014

ich hoffe zumindest das es die meisten user so handhaben, immerhin sollten die meisten hier doch so "schlau" sein das man nicht immer das selbe PW überall nutzt.

Trefoil80 · 15. April 2014

Keine Antwort von Thilo?

Markus_Wollny · 15. April 2014

SSL fürs Login ist zur Zeit nicht geplant, die Integration in die verschiedenen Bereiche und vor allem in VBulletin ist alles andere als trivial. Das Abfangen der übertragenen Login-Daten ist grundsätzlich vor allem bei offenen WLAN-Netzen ein potenzielles Problem - wer das daher als Risiko bewertet sollte evtl. einen VPN-Tunnel verwenden, zumal wir nicht die einzige Community-Seite sind, die kein SSL-Login anbieten. Wir empfehlen dringend, Passwörter nicht auf mehreren Webseiten zu verwenden.

Viele Grüße

Markus

turbosnake · 15. April 2014

Die Sicherheit der Nutzer geht euch also am Ar*** vorbei?

Cleriker · 15. April 2014

Jetzt übertreib mal nicht!

turbosnake · 15. April 2014

Ich übertreibe nicht. :schief:

Markus_Wollny · 25. April 2014

Längere Ausführung zum Thema siehe hier.

Viele Grüße

Markus

OpenSSL @ PCGH ?

TempestX1

Software-Overclocker(in)

mattinator

Volt-Modder(in)

Trefoil80

BIOS-Overclocker(in)

Uranium-Core

Guest

marvinj

PCGH-Community-Veteran(in)

PCGH_Thilo

Größter PCGH-Fan

Auerswald

Gesperrt

TempestX1

Software-Overclocker(in)

Kuhprah

Software-Overclocker(in)

Trefoil80

BIOS-Overclocker(in)

Cleriker

PCGH-Community-Veteran(in)

Stern1710

Software-Overclocker(in)

efdev

PCGHX-HWbot-Member (m/w)

Trefoil80

BIOS-Overclocker(in)

Markus_Wollny

Administrator

turbosnake

Kokü-Junkie (m/w)

Cleriker

PCGH-Community-Veteran(in)

turbosnake

Kokü-Junkie (m/w)

Markus_Wollny

Administrator

Ähnliche Themen