Skip to content

So funktioniert der Heartbleed Bug

Von dem Heartbleed Bug in OpenSSL hast du vielleicht gehört, einfach gesagt ist es ein Fehler in der zentralen Verschlüsselungsbibliothek die in so gut wie allem was mit “Online” zu tun hat benutzt wird.
Der Fehler steckt in der recht neuen “Heartbeat” (Herzschlag) Funktion mit der man überprüfen kann ob die andere Seite noch da ist. Dabei schickt die eine Seite an die Andere eine Nachricht wie “Wenn Du noch da bist, dann antworte mit “JA”, das sind 2 Zeichen”. Und die andere Seite antwortet mit “JA”. Das Problem ist jetzt, dass sie nicht nachguckt wie lang der Text wirklich ist der geantwortet werden soll sondern die Angabe der anderen Seite glaubt. Und die kann nun auch sagen “[…]dann antworte mit “JA”, das sind 500 Zeichen” und die Gegenstelle antwortet mit “JA” und den nächsten 498 Zeichen die sie gerade im Speicher hat. Und das sind bei der Verschlüsselungsbibliothek halt Dinge die eigentlich geheim sind.

Randall Munroe von XKCD hat das in einem Comic veranschaulicht:XKCD Heartbleed Erklärung

Eigentlich müsste man (ich) das mal übersetzen, mal sehen ob das schon jemand gemacht hat oder ob ich am Wochenende dazu komme…

"Russians are awesome"

Sieh Dir diese Karte “Lakes and Oceans“ des Webcomics XKCD mal an.

XKCD
Sie zeigt Massstabsgerecht (vertikal) die Tiefe diverser Seen, des Ozeans sowie die Tauchtiefen von verschiedenen Tieren und U-Booten. Gerade bei den U-Booten mag man danach gar nicht mehr von “Tiefe” sprechen. Und dann kann man nachvollziehen warum es so schwer war das Leck der Deep Water Horizon abzudichten.

Du wirst in der großen Version auch das Zitat aus dem Titel finden. Und wenn Du gelesen hast worauf es sich bezieht wirst Du zustimmen.

xkcd über die Entropie von Kennworten

Mittwoch gab es einen besonders interessanten xkcd Comic:

XKCD password strength
(draufklicken für volle Version)

Zusammengefasst: Ein Passwort Kennwort das aus 4 normalen, leicht zu merkenden Wörtern besteht ist leichter zu merken und sicherer als ein kryptisches, schwer zu merkendes.

Daraufhin hat Jeff Preshing einen xkcd Password Generator gebaut der auf Mausklick ein Kennwort aus 4 (englischen) Wörtern generiert.
In der Diskussion dort in den Kommentaren ist auch erklärt warum ein solches aus 4 trivialen Wörtern bestehendes Kennwort nicht so trivial zu knacken ist wie jedes einzelne Wort das über Rainbow-Tables in Sekunden geknackt ist. Im bei xkcd Comics immer vorhandenen Kommentar den man als Tooltipp bekommt wenn man mit der Maus auf dem Comic bleibt entschuldigt sich der Autor übrigens für die Diskussionen die entstehen werden laugh

Kennt jemand eine Quelle/Liste mit deutschen Worten? So 3000-5000 sollten es sein, dann würde ich davon eine deutsche Version bauen, den Javascript-Code hat er verlinkt und er besteht im Prinzip nur aus einer riesigen Wortliste aus der halt 4 zufällig ausgewählt werden.

Klingeltöne

Die Hochzeit von Jamba & Co scheint glücklicherweise vorbei, aber Handys sind wohl endgültig zu Musikabspielgeräten geworden. Aber nicht als mp-Player (wie ich es auch verwende) sondern es macht immer dann Musik wenn jemand nervt anruft.
Und weil das so ein tolles Lied ist wird es auch schön lange laufen gelassen sad

Ich halte es seit ich entsprechend befähigte schnurlose Taschenfernsprecher habe wie in diesem xkcd-Comic: