Eine der bekanntesten Schwachstellen der Mitte der 2010er Jahre hieß „Heartbleed“. Heartbleed war besonders gravierend, weil es die Software „OpenSSL“ betraf, die wichtigste kryptografische Bibliothek für HTTPS-Verbindungen, die sehr weit verbreitet sind. Erschwerend kommt hinzu, dass die Schwachstelle in OpenSSL seit mehr als zwei Jahren vorhanden war, bevor sie entdeckt, veröffentlicht und gepatcht wurde, was bedeutete, dass viele Leute eine anfällige Version verwendeten.
Heartbleed war eine Datenleck-Schwachstelle in der Heartbeat-Erweiterung, die bei Ausnutzung Daten aus dem RAM vom Server zum Client durchsickerte. Die Heartbeat-Erweiterung wird verwendet, um eine Verbindung zwischen dem Webserver und dem Client aufrechtzuerhalten, ohne einen normalen Seitenaufruf durchzuführen.
Bei OpenSSL sendet der Client eine Nachricht an den Server und teilt dem Server mit, wie lang die Nachricht ist, bis zu 64 KB. Der Server soll dann dieselbe Nachricht zurückgeben. Entscheidend ist jedoch, dass der Server tatsächlich nicht überprüft hat, ob die Nachricht so lang war, wie der Client behauptete. Dies bedeutete, dass ein Client eine 10-KB-Nachricht senden konnte, behauptete, es seien 64 KB und eine 64-KB-Antwort erhalten, wobei die zusätzlichen 54 KB aus den nächsten 54 KB RAM bestehen, unabhängig davon, welche Daten dort gespeichert waren. Dieser Prozess wird durch den XKCD-Comic #1354 gut visualisiert .
Bild mit freundlicher Genehmigung von xkcd.com .
Indem ein Angreifer viele kleine Heartbeat-Anfragen stellt und behauptet, dass es sich um große handelt, kann sich ein Angreifer ein Bild vom größten Teil des RAM des Servers machen, indem er die Antworten zusammensetzt. Zu den im RAM gespeicherten Daten, die durchsickern könnten, gehören Verschlüsselungsschlüssel, HTTPS-Zertifikate sowie unverschlüsselte POST-Daten wie Benutzernamen und Passwörter.
Hinweis: Es ist weniger bekannt, aber das Heartbeat-Protokoll und der Exploit funktionierten auch in die andere Richtung. Ein bösartiger Server könnte so konfiguriert sein, dass er bis zu 64 KB Benutzerspeicher pro Heartbeat-Anfrage liest.
Das Problem wurde am 1. April 2014 von mehreren Sicherheitsforschern unabhängig voneinander entdeckt und privat an OpenSSL weitergegeben, damit ein Patch erstellt werden konnte. Der Fehler wurde veröffentlicht, als der Patch am 7. April 2014 veröffentlicht wurde. Die beste Lösung zur Behebung des Problems bestand darin, den Patch zu installieren. Es war jedoch auch möglich, das Problem durch Deaktivieren der Heartbeat-Erweiterung zu beheben, wenn ein sofortiges Patchen nicht möglich war Möglichkeit.
Obwohl der Exploit öffentlich und allgemein bekannt war, wurden viele Websites leider immer noch nicht sofort aktualisiert, und die Schwachstelle wurde auch noch Jahre später gelegentlich gefunden. Dies führte dazu, dass der Exploit in mehreren Fällen verwendet wurde, um Zugang zu Konten zu erhalten oder Daten zu verlieren.
Chrome zeigt Ihnen standardmäßig nicht die vollständige URL an. Dieses Detail interessiert Sie vielleicht nicht so sehr, aber wenn Sie aus irgendeinem Grund die Anzeige der vollständigen URL benötigen, finden Sie hier detaillierte Anweisungen, wie Sie Google Chrome dazu bringen, die vollständige URL in der Adressleiste anzuzeigen.
Reddit hat im Januar 2024 sein Design erneut geändert. Das neue Design ist für Benutzer von Desktop-Browsern sichtbar und schränkt den Haupt-Feed ein, während gleichzeitig Links bereitgestellt werden
Das Eingeben Ihres Lieblingszitats aus Ihrem Buch auf Facebook ist zeitaufwändig und voller Fehler. Erfahren Sie, wie Sie mit Google Lens Text aus Büchern auf Ihre Geräte kopieren.
Wenn Sie mit Chrome arbeiten, können Sie manchmal nicht auf bestimmte Websites zugreifen und erhalten die Fehlermeldung „Server-DNS-Adresse konnte in Chrome nicht gefunden werden“. Hier erfahren Sie, wie Sie das Problem beheben können.
Erinnerungen waren schon immer das größte Highlight von Google Home. Sie machen unser Leben sicherlich einfacher. Lassen Sie uns einen kurzen Überblick darüber geben, wie Sie Erinnerungen auf Google Home erstellen, damit Sie wichtige Besorgungen nie verpassen.
So ändern Sie Ihr Passwort für den Streaming-Videodienst Netflix mit Ihrem bevorzugten Browser oder Ihrer Android-App.
Erhalten Sie die Meldung „Etwas ist schiefgelaufen?“ Beim Zugriff auf Twitter in Google Chrome auf Ihrem Computer tritt die Fehlermeldung „Versuchen Sie es neu zu laden“ auf.
Beim Versuch, sich bei Ihrem Snapchat-Konto anzumelden, werden Sie mit einer Fehlermeldung und einem C14A-Code begrüßt. Möglicherweise sind die Server der Plattform ausgefallen, was überall zu Anmeldeproblemen führen kann.
Die Idee, Videospiele zu entwickeln, gefällt vielen. Der eigentliche Prozess ist jedoch entmutigend, insbesondere wenn man ein Programmieranfänger ist.
Vielleicht möchten Sie Ihre YouTube-Videos auf Instagram teilen, um Ihre Marke auszubauen und Engagement zu generieren. Aber wie teilen Sie YouTube-Videos in Ihrer Instagram-Story? Es gibt keine Möglichkeit, ein YouTube-Video direkt in Ihrer Instagram-Story zu teilen, aber es gibt eine Möglichkeit, dies zu umgehen.
