Normalerweise gelten Datenverbindungen, die per SSL verschlüsselt werden, als ausgesprochen sicher. Sender und Empfänger tauschen ihre Daten verschlüsselt aus. Abhören unmöglich, so das Konzept. Doch jetzt das: Experten haben ein erhebliches Sicherheitsleck in OpenSSL entdeckt. Hacker können über das Sicherheitsleck in Computer einbrechen und dort nicht nur die Schlüssel stehlen, sondern auch Daten aus dem Speicher auslesen. Benutzernamen, Passwörter, Kreditkartendaten, sensible Daten – alles, was man aus gutem Grund verschlüsselt, steht den Cyberdieben dann im Klartext zur Verfügung.
Ein absoluter GAU, denn OpenSSL wird nahezu überall eingesetzt. Web-Server, Datenbanken, E-Mail-Programme, Bank-Software: Viele Programme verwenden OpenSSL, um sichere Datenverbindungen zu ermöglichen. Es gibt zwar Alternativen, aber OpenSSL ist besonders beliebt, weil eigentlich sehr stabil, verlässlich und OpenSource, also kostenlos verfügbar.
Betroffen ist ausnahmslos jeder, der das Internet nutzt. Denn OpenSSL kommt ständig zum Einsatz: Beim Login, beim Übertragen sensibler Daten, bei der Fernsteuerung eines anderen Rechners – OpenSSL ist garantiert im Einsatz. Egal, ob man mit PC, Tablet, Smartphone oder Smart-TV online geht.
Das Sicherheitsproblem ist längst gestopft. Jetzt muss aber überall, wo OpenSSL verwendet wird, das Update eingespielt werden, in jeder einzelnen Software. Das kann dauern, bis das Sicherheitsleck überall gestopft ist. Selbst prominente Seiten hatten das Sicherheitsproblem, und nicht alle haben schnell reagiert und das Leck gestopft.
Internetbenutzer müssen in den nächsten Tagen auch ihre Software aktualisieren, etwa Betriebssystem, Browser, E-Mail-Software oder Banking-Programme. Auch Smartphones werden aktualisiert werden müssen. Da kommt was auf die Benutzer zu. Außerdem sollte man die Passwörter der wichtigsten Onlinekonten erneuern.
In der OpenSSL-Bibliothek, die von Webseiten verwendet wird, um Daten verschlüsselt auszutauschen, wurde eine Sicherheitslücke entdeckt. Unter dem Namen „Heartbleed“ bekannt, sorgt diese Lücke momentan für große Probleme im Netz.
Denn jede betroffene Webseite muss
die OpenSSL-Bibliothek auf den neusten Stand bringen,
danach alle Sicherheits-Zertifikate erneuern lassen, und
alle Nutzer zum Ändern ihrer Kennwörter auffordern.
Das sollte so schnell wie möglich passieren,
bevor die Lücke aktiv ausgenutzt werden kann.
Eine der Neuerungen von Internet Explorer 11 ist die neue Entwicklungs-Umgebung, die über die [F12]-Taste erreichbar ist. Unter anderem können Sie hier auch den User-Agent ändern, mit dem sich der Browser gegenüber Webservern ausweist. (mehr …)
Immer mehr Menschen mieten keinen Server mehr, sondern betreiben ihre Webseite einfach von zuhause aus. Auch zum Entwickeln von Webseiten eignet sich ein lokaler Webserver, wie zum Beispiel Apache. Standardmäßig läuft der auf Port 80 (HTTP). Mit diesem Tipp richten Sie den Webserver auf einem anderen Port ein. (mehr …)
Wer einen eigenen kleinen Webserver zuhause betreibt, kennt sicher XAMPP. Webserver, PHP und MySQL – alles in einem Paket. Noch einfacher geht’s, wenn Ihr Computer ein Mac ist. Denn dann können Sie auf MAMP zurückgreifen. (mehr …)
Mit den Freigabediensten von OSX geben Sie verschiedene Inhalte Ihres Macs für andere frei, zum Beispiel Ihren Bildschirm, Dateien, Drucker oder auch Ihre Internetverbindung. Bisher war auch immer ein Webserver enthalten, über den Sie eigene Webseiten im Internet hosten konnten. Diese Funktion wurde jedoch aus den Systemeinstellungen von OSX 10.8 Mountain Lion entfernt. Scheinbar. (mehr …)
„Security by obfuscation“, so heißt ein englisches Sprichwort. Es bedeutet „Sicherheit durch Verschleierung“. Gemeint ist: Sie (und Ihr Server) sind weniger angreifbar, wenn man nur wenige Details über das System erkennen kann. Zum Beispiel sendet der verbreitete Webserver Apache normalerweise bei jeder Antwort seine Versionsnummer mit. Das können Sie mit wenigen Einstellungen verhindern. (mehr …)
Den eigenen Webserver verwalten? Dann sollten Sie sich unbedingt auch Gedanken über die Sicherheit machen. Potenzielle Angreifer müssen zum Beispiel nicht wissen, welche Software auf Ihrem Server im Einsatz ist. Denn je weniger Informationen Angreifer über Ihre Webseite und den Server haben, desto schwieriger wird es, einen Angriff zu planen. (mehr …)
