opera 12.16 unter linux und openssl

[m1chael]

Hat hier jemand infos ob Opera von der Heartbleed vulnerability (openssl bug) betroffen ist? Tante Google wußte da nicht wirklich etwas.

[Tante Google]

[Gwen]

Opera 12 hat bei SSL Heartbeat nicht aktiviert, ist also sicher. Siehe auch http://blogs.opera.com/security/2014/04 ... eartaches/

[m1chael]

Danke für den link!

[OperaNer]

Dass es nichts nutzt, wenn Opera unverwundbar ist aber die besuchten Server bei SSL druch die Herartbeat-Lücke ausgespäht wurden, ist euch bekannt? Dann könnte auch die Verbindung bei der Übermittlung von Logins unsicher gewesen sein.

[BigMike]

Ähm - nein, das Problem ist ein anderes. Es geht beim Heartbeat-Bug nicht um eine sichere oder unsichere Verbindung. Es geht darum, dass unkontrolliert Speicherinhalte ausgelesen werden können.

Wenn Opera Heartbeat nicht unterstützt, heißt das, dass Heartbeat nicht verwendet wird und deshalb kein potentiell attackierender Server über den Heartbeat-Bug Daten von Deinem Client auslesen kann. (Das ganze funktioniert auch anders rum)

Wenn ein attackierender Client Speicherinhalte von einem verwundbaren Server ausliest, können da auch potentiell vertrauliche Daten von Dir dabei sein. Das hat nichts damit zu tun, ob Du gerade eine Verbindung mit dem Server aufrecht hältst oder nicht. Entscheidend ist, dass der Server dazu gebracht wird unkontrolliert Daten aus seinem Arbeitsspeicher offen zu legen.

[Gwen]

Ähm - nein, das Problem ist ein anderes. Es geht beim Heartbeat-Bug nicht um eine sichere oder unsichere Verbindung. Es geht darum, dass unkontrolliert Speicherinhalte ausgelesen werden können.

Es können unter Umständen die Privaten Schlüssel der Server von Externen ausgelesen werden. Der Private Schlüssel darf niemals extern bekannt sein, sonst kann die Verbindung nicht mehr als verschlüsselt bezeichnet werden.