dazu folgende info (leider auf frz) - sollte ich heute ein bisschen zeit haben, werde ich das übersetzen (oder irgendwelche deutsche medien haben die info aufgenommen)
______________
La sécurité des paiements sur internet a pris hier un coup dans l’aile, avec la découverte de chercheurs (http://www.epfl.ch/pressinfo/welcome.php?action=disp…) de l’EPFL qui ont réussi à reconnaître le mot de passe que vous utilisez sur un site commercial ou pour accéder à votre compte en banque.
En attendant que tous les sites soient équipés d’une version vaccinée contre les attaques à la lausannoise, vérifiez vous-mêmes la sécurité de votre connexion au moment où apparaît un cadenas fermé et/ou une adresse commençant par https://
Dans le menu „Fichier“ de votre navigateur, ouvrez le champ des propriétés.
Votre navigateur indique le type de connexion sécurisée qu’il a choisi. La mention SSL est suivie d’un modèle nommé ®C4 ou DES. Par exemple: SSL 3.0, RC4 avec cryptage 128 bits.
und da es sich um Opensource handelt ist die Lücke (Fehhler bei der Implementierung der SSL-Bibliotheken) schon behoben und es stehen Updates (Version 09.7a) zur Verfügung.
aha, hier machen sie seit gestern nämlich ganz schönes gedöns in den hiesigen medien… also alles halb so wild ?
und da es sich um Opensource handelt ist die Lücke (Fehhler
bei der Implementierung der SSL-Bibliotheken) schon behoben
und es stehen Updates (Version 09.7a) zur Verfügung.
aha, hier machen sie seit gestern nämlich ganz schönes gedöns
in den hiesigen medien… also alles halb so wild ?
naja, das Hauptproblem ist nicht OpenSSL, das hauptproblem sind die unzähligen Bank-prog’s die nach den gleichen Prinzip knackbar sind und die aus Kosten und Lizenzgründen nicht geupdated werden. Die Dinger basieren nicht auf opensource (viel zu unsicher) oder Lib’s und müsten deshalb von dem Unternehemen das sie geschrieben hat einzeln verbessert werden.
Die Dinger basieren nicht auf opensource (viel zu unsicher)
Kannst Du mir das erläutern?
habe die sarkasmus-tags weggelassen, dachte das wär hier nicht nötig…
nee, Banken trauen nix für das sie nix bezahlt haben. Ausserdem könnte die GNU/GPL (unter was auch immer openssl-läuft) ein kleines Problem für die Client-Software darstellen.
Ansonsten hat OS einen grossen Vorteil: man kann evtl. Fehler selbst beheben denn selbst nachdem ein paar 1000 Leute den Code durchgekaut haben kam immernoch was falsch sein.
Die Dinger basieren nicht auf opensource (viel zu unsicher)
Kannst Du mir das erläutern?
habe die sarkasmus-tags weggelassen, dachte das wär hier nicht
nötig…
Na, ich rechne bei dem Thema mittlerweile mit allem (((
Sorry!!
nee, Banken trauen nix für das sie nix bezahlt haben.
Ausserdem könnte die GNU/GPL (unter was auch immer
openssl-läuft) ein kleines Problem für die Client-Software
darstellen.
Ansonsten hat OS einen grossen Vorteil: man kann evtl. Fehler
selbst beheben denn selbst nachdem ein paar 1000 Leute den
Code durchgekaut haben kam immernoch was falsch sein.
Ja, was OS angeht, sind wir uns dann wohl einig! ) Wie gesagt, ich hatte nur kurz gesteigerten Blutdruck ob der Befürchtung, mal wieder die ganzen Argumente rausholen zu müssen *gggg*
aha, hier machen sie seit gestern nämlich ganz schönes gedöns
in den hiesigen medien… also alles halb so wild ?
naja, das Hauptproblem ist nicht OpenSSL, das hauptproblem
sind die unzähligen Bank-prog’s die nach den gleichen Prinzip
knackbar sind und die aus Kosten und Lizenzgründen nicht
geupdated werden. Die Dinger basieren nicht auf opensource
(viel zu unsicher) oder Lib’s und müsten deshalb von dem
Unternehemen das sie geschrieben hat einzeln verbessert
werden.
zum thema opensource und banken ist zu sagen, dass auch da langsam umgedacht wird…
und der vielbeschriene angriff auf ssl ist in wirklichkeit nur ein problem einer bestimmten klasse von symmetrischen chiffres (blockchiffren im cbc mode), das sich nur unter _sehr_ speziellen bedingungen ausnutzen laesst und dann lediglich zu klartext, nicht aber zu schluesselmaterial fuehrt.
angegriffen wurde in dem proof of concept im uebrigen die imap funktion von outlook express, die offenbar ohne sinn und verstand alle 5 minuten versucht die verschiedenen ordner zu checken und sich dabei jedesmal pro ordner neu authentifiziert, ohne sich von den massenhaften ssl-fehlern, die durch den angriff auftreten, stoeren zu lassen. nur durch dieses etwas merkwuerdige verhalten ist es moeglich, die imap logon daten mit dem beschriebenen verfahren in absehbarer zeit zu bekommen.
die beschriebenen furchtbaren auswirkungen scheinen mir doch eher aus der luft gegriffen.
(((
) Wie gesagt, ich hatte nur kurz gesteigerten Blutdruck ob der Befürchtung, mal wieder die ganzen Argumente rausholen zu müssen *gggg*