To tredjedeler av alle nettbrukere kan være rammet

[hakontdal]

Fins det ei oversikt over tenester/sider som har implementert fixen?

...så veit vi at passordbytte "holder"?

 

Edit: Eg har søkt og søkt på http://filippo.io/Heartbleed/ men enno ikkje funne nokon. Litt rart...

Endret 9. april 2014 av hakontdal

[McShortFuse]

Må jeg bytte ALLE passordene mine?

Vet ikke helt om jeg har lyst til å endre 85 forskjellige passord (Klarer knapt nok å huske et par av dem). For ikke å glemme prosessen med å gå inn på hver av de 85 nettsidene hvor jeg bruker disse passordene for å sjekke at de nye fungerer..

 

Haff, skulle ønske jeg var flinkere til å komme på gode passord, eier ikke kreativitet. Blir like overrasket når jeg ser hvor unike passord folk kommer på.

[markula78]

Må jeg bytte ALLE passordene mine?

Vet ikke helt om jeg har lyst til å endre 85 forskjellige passord (Klarer knapt nok å huske et par av dem). For ikke å glemme prosessen med å gå inn på hver av de 85 nettsidene hvor jeg bruker disse passordene for å sjekke at de nye fungerer..

 

Haff, skulle ønske jeg var flinkere til å komme på gode passord, eier ikke kreativitet. Blir like overrasket når jeg ser hvor unike passord folk kommer på.

 

Det finnes jo masse guider. Men det lettest for og lage godt passord er en setning.

Vi Har Et Stort Problem Med Global Oppvarming.

 

VHESPMGO også legg til noen tall samt symboler.

[efikkan]

Må jeg bytte ALLE passordene mine?

Vet ikke helt om jeg har lyst til å endre 85 forskjellige passord (Klarer knapt nok å huske et par av dem). For ikke å glemme prosessen med å gå inn på hver av de 85 nettsidene hvor jeg bruker disse passordene for å sjekke at de nye fungerer..

 

Haff, skulle ønske jeg var flinkere til å komme på gode passord, eier ikke kreativitet. Blir like overrasket når jeg ser hvor unike passord folk kommer på.

Nei, slapp av.

 

Jeg misliker sterkt hvordan saken hauses opp i tabloidpressen. Denne svakheten er tross alt marginal og mest sannsynlig ikke blitt forsøkt utnyttet før i dag. Det kan være vanskelig å få ut rikitg del av minnet til OpenSSL for å få en komplett privatnøkkel, og isåfall gir ikke denne nødvendigvis tilgang til sensitiv data som passord. Hvis noen har utnyttet noe slik så har de mest sannsynlig kun klart å avlese nettside-trafikk til og fra serveren. Hvis noen har en så idiotisk konfigurasjon at samme nøkkel kan brukes for å logge inn på serveren direkte via eksterne porter og rett inn på databasen så er det tidenes grandtabbe fra systemadministratorer. Selv om få vil oppdage et par forsøk på å dumpe ut minnet fra OpenSSL, så vil det lett oppdages om noen gjør det systematisk med millioner av forsøk. Det bør definitivt merkes om noen stikker av med en stor database. Det er verdt å merke seg at selv om svakheten i OpenSSL teoretisk er alvorlig så kan angrepet være vanskelig og tidkrevende, og at nettservere generelt har trolig mange andre kjente svakheter som lavthengende frukter.

 

Artikler som denne i DN er helt latterlig. Det er svært bekymringsverdig at Nasjonal Sikkerhetsmyndighet ikke har bedre forståelse av sitt eget fagfelt.

 

Siden du har 85 passord så regner jeg med at du bruker en passord-safe? Jeg håper virkelig at du ikke lagrer noen av disse direkte i nettleseren, for det er noe som kan leses ut i klartekst! Mest sannsynlig er ingen av dine passord kompromittert, men jeg vil uansett be deg bytte alle passordene med jevne mellomrom uavhengig av OpenSSL-buggen.

[Mr.M]

Hvor alvorlig skal man ta denne nyhetsmeldingen? Vil nødig begynne styre med nye passord sånn uten videre. Sjekket DnB nettbank nå, ikke et ord om å bytte passord der iallefall.

 

Nok et ulv ulv skremsel som er glemt imorgen eller?

 

edit: , så ikke/postet samtidig med forrige mann, som oppklarer endel punkter.

Endret 9. april 2014 av Mr.M

[efikkan]

Er Hardware/tek berørt og er feilen rettet her?

De aller fleste forum bruker ikke SSL ved innlogging og registrering uansett. Jeg ser HW har SSL på noe i dag, men de fleste av oss har registrert oss lenge før dette uansett og sendt all informasjon i klartekst over nettet.

[efikkan]

Bare for å presisere for den som lurer, passordbytte har lite med dette problemet å gjøre. Svakheten vil kunne brukes til å avlytte(wiretap) mellom en bruker og en server, forutsatt at angriperen er fysisk mellom de to (altså kun myndigheter, transitt og ISP) og at de først har klart å fått dumpet ut riktig del av OpenSSL sitt minne(noe som ikke er like lett siden de kan få ut 64kB).

[Emancipate]

Urelatert til dette prosjektet men likevel verdt å nevne er en rekke viktige pakker fra OpenBSD-gjengen som f.eks. står bak helt uunnværlige OpenSSH. Dette er på langt nær like ille som OpenSSL, men denne gjengens holdninger overfor sikkerhet og egen kodekvalitet bekymrer meg. Selv om det er selveste Linus Torvalds som har gjort en commit så bør vi "sikkerhetsklarere" den.

Nå skjønte jeg ikke helt hva du prøvde å si. Så vidt jeg har fått med meg ville en commit fra Linus Torvalds sikkerhetssjekkes mer enn noen annens om den sendes til OpenBSD-gjengen? Torvalds er kjent for å være en texas-koder, og dessuten stadig i munnhuggeri med dem. Endret 9. april 2014 av Tåkelur

[efikkan]

 

Urelatert til dette prosjektet men likevel verdt å nevne er en rekke viktige pakker fra OpenBSD-gjengen som f.eks. står bak helt uunnværlige OpenSSH. Dette er på langt nær like ille som OpenSSL, men denne gjengens holdninger overfor sikkerhet og egen kodekvalitet bekymrer meg. Selv om det er selveste Linus Torvalds som har gjort en commit så bør vi "sikkerhetsklarere" den.

Nå skjønte jeg ikke helt hva du prøvde å si. Så vidt jeg har fått med meg ville en commit fra Linus Torvalds sikkerhetssjekkes mer enn noen annens om den sendes til OpenBSD-gjengen? Torvalds er kjent for å være en texas-koder, og dessuten stadig i munnhuggeri med dem.

 

Jeg referer til enkelte utvikleres enorme tiltro til egenprodusert kode. OpenBSD-gutta er et mer konsentrert team som har sine fordeler, blant annet får de til mye stilig på kort tid og er ofte målrettet. Men de hadde hatt virkelig godt av mer innsyn fra flere utviklere og mer vedlikeholdbar og leselig kode. Mye av koden som skrives i dag skal tross alt vedlikeholdes i opptil flere tiår fremover av andre utviklere.

Poenget var ikke at Torvalds er/ikke er stor i munnen, poenget var at vi ikke skal ta noens kode for god fisk før den er grundig verifisert.

[Gjest Slettet-x7D6du0Hjb]

Jeg er selv udugelig på å lage passord, kan noen som kan anbefale en guide på å lage gode passord? Jeg må nok finne på litt bedre passord til andre websider. Det er dog fint at tjenester som Google og Facebook har verifisering med mobilen, men det burde egentlig flere tjenester benytte seg av.

Endret 9. april 2014 av Slettet-x7D6du0Hjb

[efikkan]

Jeg er selv udugelig på å lage passord, kan noen som kan anbefale en guide på å lage gode passord? Jeg må nok finne på litt bedre passord til andre websider. Det er dog fint at tjenester som Google og Facebook har verifisering med mobilen, men det burde egentlig flere tjenester benytte seg av.

1) Finn en passordsafe, f.eks. Keepassx. Det finnes også tjenester som lastpass som lagrer passordene for deg om du stoler på de.

2) Du trenger to solide passord, det ene bruker du i safen din og det andre på din e-post. Disse bør være ulike av sikkerhetshensyn.

3) Generér unike passord for hver tjeneste og lagre det i safen din. Du kan enkelt se entropien(styrken) til passordene dine. Bruk gjerne over 30 tegn for tjenester som tillater så lange passord. Et solid passord skal bestå av helt uforutsigbare tegn, og bør ikke bestå av ord eller setninger(ord er lett å knekke). Lag gjerne gode kategorier inne i safen, f.eks. sortert på "forum", "shopping", osv.

4) Dersom du lagrer passordsafe lokalt bør du ta regelmessig backup av denne.

5) Med faste intervaller bør du bytte ut passordene på tjenestene du bruker, og bytte passordet på safen. (passordet på safen må du selvsagt huske)

 

Som tilleggsopplysning vil jeg nevne at to-faktor-autentisering er en fin bonus, men at det aldri er en erstatning av et godt passord. Sikkerheten på slike løsninger varierer veldig.

[Thomas Toget]

Er Hardware/tek berørt og er feilen rettet her?

 

Hmm, er det ikke SSL på hw.no/diskusjon.no? :-S

[Willy T. Koch]

Kanskje på tide at man crowdsourcer en skikkelig code review av OpenSSL? Det hadde forhåpentligvis funnet feilen. Cryptocat er flinke der: https://blog.crypto.cat/2014/04/recent-audits-and-coming-improvements/

[iStalkPhoto]

Trodde åpen programvare = trygt jeg? Dette motbeviser vel alle de påstandene.

 

Nei? Et samfunn av tusenvis ivrige og lidenskapelige brukere vs et firma med en hånfull programmerere? Hvor lenge tror du det tar Adobe å finne sikkerhetshull? De gjør de nesten ikke, det er stort sett det "åpne" samfunnet som gjør. Jeg stoler langt mer på opensource enn failware.

[hernil]

Brukte kvelden på å patche de serverne i serverparken vår som var utsatt. Som nevnt lenger opp er det versjonene 1.0.1a - f som er sårbare. Det betyr blant annet at Debian 6 -installasjoner aldri har hatt problemet.

 

Etter patchingen lekte vi litt rundt for å se hva greia var, og jeg må si det er noe av det skumleste jeg har sett i den kategorien. Det er så enkelt å hente ut deler av minnet at nesten hvem som helst kan få det til, og på bare en times tid så jeg en del jeg ikke burde hatt tilgang til (advarte nettsidene det gjaldt med en epost). Hvis det stemmer at det i noen miljøer har vært kjent siden 2012 har jeg ingen problemer med å tro at de kan ha hentet ut private nøkler og annet sensitivt ved å metodisk hente ut deler og lappe det sammen.

 

Når man ikke vet noe om systemene i backend på de sårbare serverne vil jeg ikke si det er en overdrivelse å oppfordre til passordbytte!

[Emancipate]

Har denne feilen noe med at alle ikonene på https://www.diskusjon.no ikke laster inn? Følgefeil av oppgradering?

[Emancipate]

Problemet med "monopol" er at når det er sikkerhetshull rammes plutselig alt. Og firmaer trenger ikke å ta proaktivt ansvar fordi de gjør jo bare som alle alle andre.

 

Litt merkelig egentlig, at en såpass fundamental komponent ikke er bedre skrudd sammen.

[Gjest Slettet-x7D6du0Hjb]

1) Finn en passordsafe, f.eks. Keepassx. Det finnes også tjenester som lastpass som lagrer passordene for deg om du stoler på de.

2) Du trenger to solide passord, det ene bruker du i safen din og det andre på din e-post. Disse bør være ulike av sikkerhetshensyn.

3) Generér unike passord for hver tjeneste og lagre det i safen din. Du kan enkelt se entropien(styrken) til passordene dine. Bruk gjerne over 30 tegn for tjenester som tillater så lange passord. Et solid passord skal bestå av helt uforutsigbare tegn, og bør ikke bestå av ord eller setninger(ord er lett å knekke). Lag gjerne gode kategorier inne i safen, f.eks. sortert på "forum", "shopping", osv.

4) Dersom du lagrer passordsafe lokalt bør du ta regelmessig backup av denne.

5) Med faste intervaller bør du bytte ut passordene på tjenestene du bruker, og bytte passordet på safen. (passordet på safen må du selvsagt huske)

 

Som tilleggsopplysning vil jeg nevne at to-faktor-autentisering er en fin bonus, men at det aldri er en erstatning av et godt passord. Sikkerheten på slike løsninger varierer veldig.

 

 

Finnes det apper for dette og? Jeg har lyst til å f.eks logge meg på Facebook på jobb, da kan jeg jo ikke huske et passord på 30 tegn.

[amund]

Er Hardware/tek berørt og er feilen rettet her?

Vi benytter OpenSSL til innlogging på våre nettsteder og er dermed berørt av feilen. Systemene våre ble patchet tirsdag formiddag.

[KoKo_]

Er BankID-passordet berørt?