Storchen84: Fast vad jag förstått så är det lönlöst att byta lösenord innan den tjänst som är påverkad åtgärdat problemet?
Det stämmer delvis ja. Om dina uppgifter läckt så kan till exempel ett lösenordsbyte hjälpa men bara tills dina uppgifter läcker igen. Och detta som du säger fortsätter tills de patchat.
Uppgradering av openssl och regenerering av certifikat behövs för att lösa skräpet.
aristoteles: Uppgradering av openssl och regenerering av certifikat behövs för att lösa skräpet.
Och jag antar att man bara vet om att det är uppgraderat och åtgärdat om dom utsatta sidorna meddelar att det är det?
Storchen84: Och jag antar att man bara vet om att det är uppgraderat och åtgärdat om dom utsatta sidorna meddelar att det är det?
Du kan kontrollera om siten har patchat sina bibliotek och jag antar att du borde även kunna kontrollera när certifikaten utfärdades.
aristoteles: Du kan kontrollera om siten har patchat sina bibliotek
Är detta något man kan kolla själv och inte något som sidan själv måste tillkännage? Hur i så fall?
aristoteles: Nja, det är väldigt allvarligt och jag tycker det är bra att folk ändå får upp ögonen för it-säkerhet.
Det målas upp som världens undergång men är extremt enkelt att åtgärda.
Storchen84: Är detta något man kan kolla själv och inte något som sidan själv måste tillkännage? Hur i så fall?
När du kommunicerar med siten så får du ett publik-cert, där bör det stå när det utfärdades. Och jag tror även att versionen av openssl exponeras via samma kommunikationsväg. Det finns siter som kollar detta åt dig, google it.
Surf Nazi: Det målas upp som världens undergång men är extremt enkelt att åtgärda.
Att skapa om alla certen kan vara tidsödande och vansinnigt dyrt beroende på omständigheterna. Men nej, det är inte jordens undergång, det handlar väl snarare om ett väldigt allvarligt säkerhetshål i något som man generellt ser som en säker produkt.
Och hurvida lätt det är att åtgärda beror också på din infrastruktur, mycket nätutrustning använder openssl. I de fallen sitter man och väntar på att tillverkaren ska bygga ett nytt firmware.
aristoteles: det handlar väl snarare om ett väldigt allvarligt säkerhetshål i något som man generellt ser som en säker produkt.
Jo det är ju absolut viktigt att åtgärda men jag tycker att det börjar bli lite löjligt då folk sitter på allmänt osäkra tjänster. Du sitter med java, flash och .net men nej allt är heartbleeds fel. Men men nu ska jag inte låta bitter, själv så patchade jag och bytte nycklar för ett par dagar sedan.
Storchen84: Och jag antar att man bara vet om att det är uppgraderat och åtgärdat om dom utsatta sidorna meddelar att det är det?
Surf Nazi:
Jo det är ju absolut viktigt att åtgärda men jag tycker att det börjar bli lite löjligt då folk sitter på allmänt osäkra tjänster. Du sitter med java, flash och .net men nej allt är heartbleeds fel. Men men nu ska jag inte låta bitter, själv så patchade jag och bytte nycklar för ett par dagar sedan.
Använder iofs inget av dom och det är produkter som generellt sett används på helt andra vis. Det går inte riktigt att jämföra.
aristoteles: Det går inte riktigt att jämföra.
Vanliga användare utnyttjar de tjänster samtidigt som de utnyttjar openssl, antingen direkt eller indirekt så visst går det att jämföra då det handlar om att använda osäkra tjänster.
Vad e heartbleed?
Surf Nazi: Vanliga användare utnyttjar de tjänster samtidigt som de utnyttjar openssl, antingen direkt eller indirekt så visst går det att jämföra då det handlar om att använda osäkra tjänster.
Ja, men tjänsterna gör väldigt olika saker och används på helt olika sätt. Det är inte ett säkerhetshål på en ensam dator i ett lokalt nätverk bakom en brandvägg. Det handlar om mångmiljonanvändar-tjänsters servrar som utom din kontroll läcker känslig information hejvilt via det krypteringsbibliotek som ska skydda din information.
Det är inte riktigt samma sak som de fortfarande otrevliga säkerhetshålen i jre.
Draug: mina lösen är oknäckbara.
Problemet är att de får se dina lösen i klartext, så vad dom är spelar ingen roll.