So funktioniert der Heartbleed Bug
Von dem Heartbleed Bug in OpenSSL hast du vielleicht gehört, einfach gesagt ist es ein Fehler in der zentralen Verschlüsselungsbibliothek die in so gut wie allem was mit “Online” zu tun hat benutzt wird.
Der Fehler steckt in der recht neuen “Heartbeat” (Herzschlag) Funktion mit der man überprüfen kann ob die andere Seite noch da ist. Dabei schickt die eine Seite an die Andere eine Nachricht wie “Wenn Du noch da bist, dann antworte mit “JA”, das sind 2 Zeichen”. Und die andere Seite antwortet mit “JA”. Das Problem ist jetzt, dass sie nicht nachguckt wie lang der Text wirklich ist der geantwortet werden soll sondern die Angabe der anderen Seite glaubt. Und die kann nun auch sagen “[…]dann antworte mit “JA”, das sind 500 Zeichen” und die Gegenstelle antwortet mit “JA” und den nächsten 498 Zeichen die sie gerade im Speicher hat. Und das sind bei der Verschlüsselungsbibliothek halt Dinge die eigentlich geheim sind.
Randall Munroe von XKCD hat das in einem Comic veranschaulicht:
Eigentlich müsste man (ich) das mal übersetzen, mal sehen ob das schon jemand gemacht hat oder ob ich am Wochenende dazu komme…
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt