A
Anonymous
Guest
Und, habt ihr heute schon alle eure Passwörter geändert? Alle Zertifikate abgelehnt?
audiot.
Hitglied
@Mic:
Ist sequencer.de von der Sicherheitslücke betroffen?
Gibt es einen Status?
(wg. Passwortänderung)
Ist sequencer.de von der Sicherheitslücke betroffen?
Gibt es einen Status?
(wg. Passwortänderung)
3
3456778674
Guest
Da die Passwörter hier (wie durchaus Foren-üblich) immer im Klartext übertragen werden ist Sequencer.de nicht betroffen.
Moogulator
Admin
Nein, Sequencer.de ist nicht betroffen.
Psychotronic
|||||||||
Es ist nicht zu empfehlen eure Passwörter und Keys für Shops und Onlinebanking jetzt zu ändern. Die Lücke aus allen Systemen rauszubekommen ist schwierig. Wartet damit ein halbes Jahr und nervt die Shop und onlinebanking Betreiber. Wenn die sagen das sie es gefixt haben, dann Passwörter ändern.
fanwander
************************
Man muss jeden Server einmal echt restarten. Bei großen Cluster-Systemen wie Amazon oder ebay, die warten müssen biss sich alle vom betreffenden Node abgemeldet haben, kann das Monate dauern.dbra schrieb:
Psychotronic
|||||||||
dbra schrieb:
Guck dir mal die Rechenzentren von Firmen an. Schau dir mal an wie viele alte Server dort stehen, guck dir dann mal das Alter der Software an.
Psychotronic
|||||||||
fanwander schrieb:
Denen trau ich zu dass das schneller geht... Probleme sehe ich eher bei kleinen Shops mit Software "direct download" + Paypal und co. Das Zeug wird irgendwo gehostet. Managed Server und so... die muss man nerven. Ich empfehle hier zumindest Random generierte Passwörter + Passwort Safe. So das zumindest nicht von einem Shop Account auf nen anderen geschlossen werden kann. Gesamt random generierte Userdaten sind bei Direct Download Softwarekauf sowieso zu empfehlen. Wer euch nichts liefern muss, braucht eure Adresse nicht, usw.
Psychotronic
|||||||||
dbra schrieb:Automatisches Update anstoßen und Server resetten sind wirklich hohe Admin-Kunst...
Glaubst du das für alle Linux/Unix Distributionen in Rechenzentren dieser Welt bereits Updates bereit stehen? Dass das Update bereits im Source Repo vom OpenSSL ist, ist fast egal.
fanwander
************************
Ich bin beeindruckt von Deinen Kenntnissen des Sessionhandlings in Loadbalanced Serverenvironmentsdbra schrieb:Automatisches Update anstoßen und Server resetten sind wirklich hohe Admin-Kunst...
A
Anonymous
Guest
Psychotronic schrieb:
Warum nicht, eigentlich wär doch zu empfehlen die PW sowohl jetzt als auch später zu ändern.
Selbst wenn es jetzt nicht gefixt ist, muss ja der Server neu kompromittiert werden um das neue PW zu holen, und das während es es grad im Speicher ist.
Also selbst ungefixt hat man mit ändern einen Sicherheitsgewinn, oder? Nicht "Sicherheit" sondern "weniger Unsicherheit".
Psychotronic
|||||||||
Wenn man es nach dem Patch des jeweiligen Server noch mal ändert. Ja. Wichtig ist, das es halt dann auf jeden Fall passiert.
3
3456778674
Guest
a) So lange das nicht gefixt ist, sind häufige Passwortwechsel sinnvoll.
b) Viele Server nutzen gar kein SSL = da sind die Passwörter von vornherein *immer* so unsicher, als ob jeder Angreifer den privaten SSL-Key erbeutet hätte!
b) Viele Server nutzen gar kein SSL = da sind die Passwörter von vornherein *immer* so unsicher, als ob jeder Angreifer den privaten SSL-Key erbeutet hätte!
Psychotronic
|||||||||
nordcore schrieb:
Korrekt. Daher für jeden Account ein random generiertes Passwort, bei wichtigen Sachen alle paar Monate wechseln. Nur low risk assets ohne https fahren.
Wem das zu aufwendig ist, das manuell zu machen:
Sowas hier unterstützt den Prozess.
http://keepass.info/
Wer paranoid ist wie ich, speichert die Storage auf nem verschlüsseltem USB Stick.
nordcore schrieb:
Shop Systeme und Online Banking sind im allgemeinen heute schon gesichtert. Wer sowas ungesichert nutzt sollte sich im Klaren sein was er da tut.
Moogulator
Admin
Es gibt noch etwas - bekannte Plattformen sind natürlich auch schneller in den Medien. Räuberei von Adoba, Google, Facebook …
Aber kleinere Sachen eher nicht, dann ists eher sowas wie Anfälligkeit des CMS, Forumssoftware, etc. - nach der man Ausschau halten kann.
Angriffe auf ein Forum lohnen sich freilich weniger als auf ein großes System mit relevanten Daten. Sprich - Ob User TB303 hier seine Email hinterlässt oder auf Facebook eine ganze Lebensgeschichte…
Und mit einem gekaperten Account kann man auch sehr unterschiedliche Dinge anstellen.
Deshalb sollte man bei den Schlüsselplattformen schon eine gute Vorsicht walten lassen und - ja, irgendwo ist das zentrale Speichern von PWs auch ein potenzielles Interessengebiet.
Ganz gut realistisch schützen könnten 2-Weg System, nur ist das nicht hilfreich wenn man kein Handy hat, denn das System muss ja unabhängig sein und umgekehrt ist ein Handy dann natürlich kein so guter Ort, weil DORT dann das Interesse wächst, diese Sachen abzufangen und das 2-Weg System dann schwer funktioniert, denn dort kommt ja alles an. Aber - dennoch ist es eine ganz gute Zusatzfunktion für den Schutz allgemein.
Die Hersteller und Plattformbetreiber bieten das immer mehr an, meist bei wichtigen administrativen Sachen oder Neuanmeldung. Bei Apple inzwischen beim Kauf eines Rechners auch schon - auf Wunsch allerdings. Ist wegen Diebstahlgefahr auch nicht mal schlecht. Aber - es bleibt ein ständiges ewiges Räuber & Gendarm - Getöse.
Passworte - Der Schutz der 2000er. Was kommt dann?..
Und wie die Leute in meinem Umfeld ihre Passworte wählen ist zum Teil schon noch immer ziemlich schwierig, weil sie eben nicht alles behalten können. Also - jedes mal beim einloggen - slg5wfpv7fntbguwth eingeben und merken können - alle 2 Wochen rotieren und das alles dann auf die eigene Platte speichern. Öaaa. NSA kommt dahinter.
Aber es ist gut, dass sowas hin und wieder bekannt wird, vielleicht hilft es ja was..
Aber ich sehe schon, was da alles passiert -Passwortzettel - Browser speichert Passworte - Auslesen über Tricks, Sammelstellen für PWs..
sie haben vergessen ihr Lieblingstier und ihren ersten Synthesizer einzugeben.
Das müsste man hier machen, besser als Captcha, wa?
Aber auch doof.
Sind sie menschlich? Ja, Sack, lass mich rein..
Aber kleinere Sachen eher nicht, dann ists eher sowas wie Anfälligkeit des CMS, Forumssoftware, etc. - nach der man Ausschau halten kann.
Angriffe auf ein Forum lohnen sich freilich weniger als auf ein großes System mit relevanten Daten. Sprich - Ob User TB303 hier seine Email hinterlässt oder auf Facebook eine ganze Lebensgeschichte…
Und mit einem gekaperten Account kann man auch sehr unterschiedliche Dinge anstellen.
Deshalb sollte man bei den Schlüsselplattformen schon eine gute Vorsicht walten lassen und - ja, irgendwo ist das zentrale Speichern von PWs auch ein potenzielles Interessengebiet.
Ganz gut realistisch schützen könnten 2-Weg System, nur ist das nicht hilfreich wenn man kein Handy hat, denn das System muss ja unabhängig sein und umgekehrt ist ein Handy dann natürlich kein so guter Ort, weil DORT dann das Interesse wächst, diese Sachen abzufangen und das 2-Weg System dann schwer funktioniert, denn dort kommt ja alles an. Aber - dennoch ist es eine ganz gute Zusatzfunktion für den Schutz allgemein.
Die Hersteller und Plattformbetreiber bieten das immer mehr an, meist bei wichtigen administrativen Sachen oder Neuanmeldung. Bei Apple inzwischen beim Kauf eines Rechners auch schon - auf Wunsch allerdings. Ist wegen Diebstahlgefahr auch nicht mal schlecht. Aber - es bleibt ein ständiges ewiges Räuber & Gendarm - Getöse.
Passworte - Der Schutz der 2000er. Was kommt dann?..
Und wie die Leute in meinem Umfeld ihre Passworte wählen ist zum Teil schon noch immer ziemlich schwierig, weil sie eben nicht alles behalten können. Also - jedes mal beim einloggen - slg5wfpv7fntbguwth eingeben und merken können - alle 2 Wochen rotieren und das alles dann auf die eigene Platte speichern. Öaaa. NSA kommt dahinter.
Aber es ist gut, dass sowas hin und wieder bekannt wird, vielleicht hilft es ja was..
Aber ich sehe schon, was da alles passiert -Passwortzettel - Browser speichert Passworte - Auslesen über Tricks, Sammelstellen für PWs..
sie haben vergessen ihr Lieblingstier und ihren ersten Synthesizer einzugeben.
Das müsste man hier machen, besser als Captcha, wa?
Aber auch doof.
Sind sie menschlich? Ja, Sack, lass mich rein..
A
Anonymous
Guest
BiometrieMoogulator schrieb:
<grusel>
Moogulator
Admin
Das ist keine Kryptographie. Das was hier gar nicht passt ist, dass dies pro Mensch eine ID bringt, aber nicht eine Legitimation übers Netz, dass man der ist für den man sich aus gibt. Dh, das müsste schon eher eine Verschlüsselung sein - ggf. nur der Einfachheit wegen als Biodaten - aber das wäre höchst bedenklich. Schon als Abdrucksensor für DEIN Handy oder so eignet sich das nur bedingt. Teilweise sogar weniger als einfach der berühmte Code.
3
3zspb9wbisüfd
Guest
Medien: "Die NSA nutze die Lücke schon gut 2 Jahre lang. Die Aaschlochen, ey!!1"
NSA: "Das is ja gaa nich waahr!"
http://www.zeit.de/news/2014-04/12/comp ... k-12093805
NSA: "Das is ja gaa nich waahr!"
http://www.zeit.de/news/2014-04/12/comp ... k-12093805
A
Anonymous
Guest
Stimmt, das war etwas kurz gedacht - das Problem ist natürlich daß jeder überall solche Biodaten mit entsprechendem Gerät abgreifen und kopieren/fälschen kann.
Aber trotzdem wird ja zunehmend Biometrie eingesetzt, nicht nur bei Apple
Eigentlich ist es doch kein Unterschied, ob das nur lokal oder übers Netz passiert.
Übers Netz bedeutet ja eigentlich nur, daß das Gerät räumlich großer ist,
und das Signal über diverse mehr oder weniger offene Kanäle/Leitungen/Knotenpunkte/ect geht.
Oder es kommen Wegwerf-Hardware Dongle in Mode, die man im 100er Pack kauft.
Die dann gefälscht sind...
Aber trotzdem wird ja zunehmend Biometrie eingesetzt, nicht nur bei Apple
Eigentlich ist es doch kein Unterschied, ob das nur lokal oder übers Netz passiert.
Übers Netz bedeutet ja eigentlich nur, daß das Gerät räumlich großer ist,
und das Signal über diverse mehr oder weniger offene Kanäle/Leitungen/Knotenpunkte/ect geht.
Oder es kommen Wegwerf-Hardware Dongle in Mode, die man im 100er Pack kauft.
Die dann gefälscht sind...
Moogulator
Admin
Ach, NSA, die kennen die Noise-Patterns schon die da genutzt werden als Zufall, jetzt sind sie wieder in Ordnung und jetzt sind es ein paar deutsche Bugs - wir werden noch viele sowas finden.
Wer fragt eigentlich in Zukunft die anderen Geheimdienste, die machen das ja auch - kann man von aus gehen. China, Russland, Israel, Dänemark, Liechtenstein..
Wer fragt eigentlich in Zukunft die anderen Geheimdienste, die machen das ja auch - kann man von aus gehen. China, Russland, Israel, Dänemark, Liechtenstein..
A
Anonymous
Guest
Psychotronic schrieb:dbra schrieb:
Guck dir mal die Rechenzentren von Firmen an. Schau dir mal an wie viele alte Server dort stehen, guck dir dann mal das Alter der Software an.
ich glaub so ne "don't touch that box" steht überall rum
wenigstens wird jetzt mal wirklich überall in den wichtigen code reingeguckt, es werden noch mehr Klopse kommen
Similar threads
News
-
Rainy Day (bisher Otem Rellik) Hailström - Sampler & Drummachine- Gestartet von Moogulator
- Antworten: 1
-
-
SequencerTalk #206 Synthesizer Entwicklung über die Zeit, Rückschritte und Fortschritte und Neues
- Gestartet von Moogulator
- Antworten: 1
-
Knobula Pianophonic - Ein Piano für Leute die keine Pianos brauchen - Eurorack + MIDI!
- Gestartet von Moogulator
- Antworten: 1
-
9-11.5.2024, Fischbach bei Idar Oberstein, Modular Meeting Happy Knobbing 2024
- Gestartet von Moogulator
- Antworten: 0
-
-