Seit ein paar Tagen kursieren ein Haufen Artikel im Internet über den sogenannten Heartbleed Bug. Es geht dabei um ein Problem in der SSL Verschlüsselung, und extrem viele Firmen sind angeblich davon betroffen. http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/ Kann das für Gambio Shops dirket oder indirekt (zB via Facebook...etc) kritisch werden und wenn ja, gibt es dafür einen Patch? Bitte um Info!
Hier das ganze mal auf deutsch (Link nur für registrierte Nutzer sichtbar.) Kurz: Updates muss dein Server evtl. machen nicht der Shop / Website selbst.
Da du auf deiner Seite anscheinend gar kein SSL verwendest, kann dich der Bug nicht betreffen. Bei dir sind die Daten auch ohne den Bug unsicher.
Der besagte Openssl-Bug ist wirklich ziemlich ätzend, und das er eine ganze Weile unbemerkt blieb. Der Bug führt tatsächlich dazu, das ein ganzer Haufen verschlüsselter Kommunikation nachträglich betrachtet gar nicht mal so sicher sicher ablief und man nicht nachvollziehen kann ob man "belauscht" wurde... Wer selbst keinen eigenen Server hat, den er selber verwaltet, muss aber nichts tun. Auch der Shop muss nicht gepatched werden. Man sollte aber einmal sicherstellen, dass der Server auf dem der Shop liegt gepatched wurde und sonst den eigenen Hoster nochmal in die Pflicht nehmen. Wer selber einen Server technisch verwaltet, und es ganz sicher haben will für die Zukunft, braucht im Grunde ein neues SSL-Zertifikat für seinen Server, dass von neu ausgestellten Stammzertifizierungsstellenzertifikaten beglaubigt wird. Da wirds echt kernig. Lieber Joschka, dir würde ich empfehlen mal zu prüfen ob du für deinen Shop nicht zumindest den Checkout SSL-verschlüsselt abbilden willst, das scheint bei dir echt nicht der Fall zu sein.
Vielen Dank für die Infos Bin ja im Rahmen der Vorbereitung für die längst fällige SSL Verschlüsselung auf diesen Bug gestoßen, sodass ich zuerst den Eindruck hatte "Wozu SSL, wenn es dann doch nix bringt?". Daher auch meine Fragestellung hier...
Was viele nicht wissen, dass wenn man einen Server besitzt, die Updates für den genannten Fehler, schon vor Bekanntgabe der Meldung gefixt wurde. Die Rechenzentren haben dies im automatischen Prozess schon eingespielt. Fragt bei Euern Providern an, was die dazu sagen und fertig. Es ist noch kein Fall bekannt, dass etwas passiert ist, nur dass einer bei Yahoo gezielt gehackt wurde. Die ersten Trittbrettfahrer mit Spammails sind auch schon unterwegs.
Die SSL-Key-Anbieter haben mitlerweile alle eigene Online-Tests auf ihren Webseiten. Damit kann jeder prüfen ob sein Server sicher ist oder nicht. Zum Beispiel: https://www.ssllabs.com/ssltest/index.html Nur wer OpenSSL 1.0.1a bis f und 1.0.2-beta benutzt ist betroffen. OpenSSL 1.0.1g ist bereits die gefixte Version. Ältere Versionen enthalten den Fehler nicht. Debian kommt z.B. immer noch mit OpenSSL 0.9.8 daher, ist also sicher. Wer nicht weiss was er installiert hat, der kann es leicht mit 'openssl version' auf Shell-Ebene testen.