Heartbleed: Lücke in OpenSSL

 

Gibt es Lücken in OpenSSL mit Heartbleed

Mit der Einführung des Internets wurde auch die sichere Übertragung von Daten notwendig. Besonders auf Serverseite ist das OpenSSL sehr weit verbreitet – eine freie Software für TLS. Rund zwei Drittel aller Server nutzten OpenSSL zur Verschlüsselung, doch seit dem 14. März 2012 bis zum April dieses Jahres sorgte ein Programmierfehler für die wohl gravierendste Sicherheitslücke des Internets.

Der „Heartbeat“

Das Grundproblem bestand im sogenannten Heartbeat, der die Kommunikation zwischen einem Server und einem Client (das heißt dem Besucher) aufrechterhält. Zu diesem Zweck sendet der Client ein kleines Paket an Daten an den Server, der das Paket sofort zurückschickt. Da dieser Austausch von „Payloads“ in regelmäßigen Abständen geschieht, spricht man bei dieser Funktion vom „Hearbeat“, also „Herzschlag“.

„Heartbleed“

Heartbleed

Heartbleed

Der Client sendet an den Server jedoch auch die Größe des geschickten Paketes mit, damit der Server einen entsprechenden Bereich für die eintreffenden Daten reservieren kann. Über den Heartbleed-Bug ist es aber möglich, dem Server 1 Kilobyte große Datenpakete zu senden und diese als 16 Kilobyte anzugeben. Der Server reserviert den entsprechenden Speicher, ohne die tatsächliche Größe der ankommenden Daten zu überprüfen. Das wahre Problem offenbart sich, wenn nun das gleiche Paket zurückgesendet werden soll. Dieses ist aber nur 1 Kilobyte groß, die „fehlenden“ 15 KB werden mit servereigenen Daten aufgefüllt.

Heartbleed wirklich so schlimm?

Der Heartbleed-Bug ist auch deshalb so fatal, weil das Paket in einem Puffer gespeichert wird und OpenSSL an dieser Stelle mit einer implementierten Speicherverwaltung arbeitet. Einfacher ausgedrückt werden nicht einfach „irgendwelche“ Daten gesendet, sondern Usernamen mitsamt zugehörigen Passwörtern. Lässt der Angreifer also viele Angriffe laufen, so kann er die Accounts des Servers kapern, da er die Zugangsdaten erhält. Obwohl die maximale Größe des Paketes 16 Kilobyte betragen sollte, ist es durchaus möglich, bis zu 64 Kilobyte an Daten vom Server zu bekommen. Dies mag sich nach nicht viel anhören, doch da die Angreifer die Attacken automatisch laufen lassen konnten, wurden viele Daten erbeutet.

Mittlerweile ist der Heartbleed-Bug behoben, doch es wurde streng empfohlen, seine Passwörter bei allen Diensten zu ändern. Angreifer könnten nach wie vor im Besitz der Zugangsdaten sein – ob bei Amazon oder Browserspielen ist dabei egal.

Apple Entwicklung größer und besser

Apple Gegenwart – Zukunft – Visionen

 

Wie entwickelt sich Apple – was können wir zukünftig erwarten?

Schon seit geraumer Zeit gehört Apple zu den erfolgreichsten Unternehmen im Bereich der Unterhaltungselektronik und erzielt jedes Jahr einen milliardenschweren Umsatz mit dem Verkauf der beliebten iPhones oder Macs. Doch so wie die Fangemeinde, und damit auch die Schlangen vor den Verkaufsstellen wachsen, gibt es immer mehr Kritiker, die dem Unternehmen vorwerfen, billige Geräte zu produzieren, die auf Größe statt auf wirkliche Verbesserung setzten, um den Kunden zu schröpfen. Doch ist dies gerechtfertigt?

Seit der Gründung im Jahr 1976 hat sich bei Apple sicher einiges getan. Computer, Smartphones, Software und Dienste für Musik und Filme sorgen für einen Gesamtumsatz von 170,9 Milliarden US-Dollar allein im Jahr 2013. Sicherlich ein großer Teil entfällt auf die beliebten iPhones, von denen das erste Gerät am 9. Januar 2007 vorgestellt wurde. Seitdem sind insgesamt 10 Modelle erschienen – und das in gerade einmal 7 Jahren. Hier stellt sich automatisch die Frage, wie viel Innovation in jeder neuen Generation stecken kann.

Kritik gerechtfertigt?

apple - Iphone

apple – Iphone

Am 19. September dieses Jahres schienen schließlich das iPhone 6 und das iPhone 6 Plus zu einem Preis von 699 bzw. 799 Euro. Im Vergleich zur letzten und fünften Generation wurde das Display auf 4,7 bzw. 5,5 Zoll vergrößert. Damit ist das Gerät schon für manche Hosentaschen zu groß. Optimal einsetzbar ist aber dadurch auf Game-Portal, wie www.spielautomaten.info und lässt so auch komplexe Ansichten beherrschen. Auch ein integriertes Barometer, ein schärferes Display, eine verbesserte Kamera und ein neueres Betriebssystem gehören mit zum Leistungsumfang. Für viele Anlass genug, immerhin wurden rund 4 Millionen Geräte in den ersten 24 Stunden verkauft. Am Startwochenende ganze 10 Millionen Stück. Das und ein ein zudem sehr leistungsstarker Prozessor geben Apple mit seiner Kalkulation wohl Recht.

Lohnt sich der Kauf?

An Verbesserungen kann es der neuen Generation an iPhones also kaum mangeln. Und bei Herstellungskosten von geschätzten 200 Dollar pro Gerät kann kaum von billigen Produktionskosten gesprochen werden – auch wenn das Unternehmen die Smartphones anschließend für das vierfache verkauft. Optimal einsetzbar ist das neue Iphone auch auf
Fragwürdig ist allerdings, ob es sich als Besitzer eines iPhones 5 oder iPhones 5S lohnt, auf die neue Generation umzusteigen. 700 Euro erscheinen für ein Smartphone schon als Wucher, wenn man bedenkt, dass man sich von diesem Geld auch einen guten Gaming-Rechner oder eine Heimkinoanlage kaufen kann. Auch die Taktik, in unregelmäßigen aber kurzen Abständen neue Varianten des gleichen Gerätes herauszubringen, die etwas besser sind, als die alten, lässt Apple in keinem wirklich guten Licht dastehen. Ob sich der Kauf eines so teuren Smartphones lohnt, ist jedermanns Sache, allerdings dürften jetzt die vorangegangenen Generationen um einiges günstiger sein, als noch vor einem Jahr. Apple ist nicht nur Marke sondern auch Kult

Google stärkt Seiten mit https Standard

https Standard beim google Ranking

Verwirrung um den https Standard beim google Ranking

Vor kurzen veröffentlichte google ein Statement nachdem Seiten nach dem https Standard im Ranking bevorzugen.

Was ist https Standard?

Der Begriff https kommt aus dem englischen „Hyper Text Transfer Protocol Secure“.

Es handelt sich um ein weitgehend sicheres Protokoll zum Übertragen von Daten. Wir kennen diesen Standard schon von Banken, die in der Regel schon seit längerer Zeit damit arbeiten. Man erkennt das natürlich am https:// und am davor befindlichen Schloss, das wenn https aktiv ist grün sein sollte.

https Standard

https Standard

Gewöhnlich sind die Daten im Netz immer als Klartext verfügbar. Durch das https Protokoll werden diese Daten nur noch verschlüsselt übertragen und können dann nicht mehr eingesehen werden.

Nun springt google wohl auch auf diesen Zug auf. Insgesamt glaubt google, das Besitzer dieser Seiten mehr für die Sicherheit im Netz beitragen. Nach der kürzlich Veröffentlichung von google hat man die Entwicklung zum https Protokoll über einen längeren Zeitpunkt beobachten. Nun ist man der Ansicht, dass webmaster für ihr bemühen das Web sicherer zu machen belohnt werden müssen. Anders ausgedrückt, wer nicht auf https umstellt wird bestraft. Allerdings ist es nicht ganz so einfach seine Seite auf https umzustellen. Hierzu muss man in der Regel bei seinem Provider ein kostenpflichtiges Zertifikat bestellen. Weiterhin schränkt es auch die Zugriffe auf die Seite ein und beeinträchtigt in gewisser Weise auch die Performance der Seite.

Vielleicht sollte man doch zunächst erst mal abwarten, welche Auswirkungen im Ranking wirklich eintreten. Zu den Auswirkungen durch Einbezug des https Standard wird man in naher Zukunft sicherlich fundierte Daten bekommen können.

Klarnamenpflicht bei Google

Klarnamenpflicht aufgehoben

Google macht der Klarnamenpflicht ein Ende

Google Klarnamenpflicht

Google Klarnamenpflicht

Bis vor Kurzem gab es die Klarnamenpflicht bei google – also den Vor- und Nachnamen – bei der Anmeldung anzugeben. Google Plus ist nach Facebook das größte soziale Netzwerk der Welt. Seine Größe erhält es jedoch nicht durch viele begeisterte Nutzer, sondern wegen der Verknüpfung der Accounts mit YouTube-Konten. Um die Videoplattform in ihrem vollen Umfang verwenden zu können, muss man auch ein Konto bei Google-Plus anlegen. . In der Vergangenheit sperrte Google immer mal wieder Konten, die unter Pseudonymen liefen. Nicht nur mit der Sperrung von diesen Mitgliedern, sondern auch mit der Klarnamenpflicht ist nun Schluss.

Nur für „echte“ Menschen

Ursprünglich sei die Pflicht, seinen richtigen Vor- und Nachnamen anzugeben aus dem Wunsch entstanden, das soziale Netzwerk nur für „echte Menschen“ zugänglich zu machen. Nutzer und Datenschützer kritisierten aber immer wieder das Vorgehen von Google, da es einen Eingriff in die Privatsphäre darstelle und rechtswidrig sein könnte. Zahlreiche Blogger und sogar Bundestagsabgeordnete schrieben Briefe an Googles Europachef Philipp Schindler. Bis jetzt schienen die Proteste wirkungslos an dem Internetgiganten abzuprallen.

Nach der Einführung im Jahr 2011 dauerte es nur ein halbes Jahr, bis der Konzern die Klarnamenpflicht leicht entschärfte, indem den Benutzern ermöglicht wurde, zusätzlich zu ihrem echten Namen einen Spitz- oder Künstlernamen zu verwenden, mit dem sie in der Öffentlichkeit auftreten konnten. Dabei behielt sich Google aber das Recht vor, ungewöhnliche Alternativnamen zu blockieren, sollte der Benutzer nicht nachweisen können, dass dieser bereits etabliert sei. Durch diese Neuerung entbrannten auch im sozialen Netzwerk selbst heftige Diskussionen, in denen viele Befürworter Googles Interesse an einem funktionierenden Netzwerk ohne Werbung oder Spam nachvollziehen konnten.

Google akzeptiert Wunsch nach Privatsphäre

Jetzt, gut drei Jahre nach der Einführung von Google Plus, ist dieses und damit auch YouTube frei von Klarnamenpflicht. Laut Google gebe es nun keine Beschränkungen mehr, alle Namen könnten genutzt werden. Mit diesem Schritt sollte das soziale Netzwerk offener werden und auch einen Platz für Personen bieten, die im Internet ungern ihre echten Daten angeben. Damit reagierte der Konzern auf die weiterhin anhaltende Kritik vor allem von Datenschützern. Dies hört sich zunächst nach einer positiven Entwicklung an, nun ist es Benutzern aber aufgrund ihrer Anonymität im Netz möglich, andere auf YouTube oder Google Plus praktisch folgenlos zu beleidigen oder anderweitig verbal anzugreifen. Zwar kann Google nach wie vor Konten sperren, aber aufgrund des wegfallenden Klarnamenpflicht kann man sich einigermaßen problemlos ein neues Konto mit einer anderen E-Mail-Adresse wieder einrichten. Dennoch stellt dies einen wichtigen und von Google nicht zwingend zu erwartenden Schritt hin zur Respektierung der Privatsphäre seiner Nutzer dar.

Was kommt nach Panda 4.0?

Panda4.0 ist ausgerollt

 

Viele Menschen hatten auf „Panda 4.0“ gewartet, aber nach dem Erscheinen im Mai hält Google die „SEO-Gemeinde“ mächtig auf Trapp und nun fragen sich viele User, was nach Panda wohl noch alles zu erwarten ist? Fakt ist, dass nach der Erscheinung von Panda 4.0 eine auffällige Umverteilung im Ranking stattfand, die es auf diese Art und Weise schon seit geraumer Zeit nicht mehr gegeben hat. Google hat mit diesem Update definitiv den Schwierigkeitsgrad erhöht, gerade wenn man sich die vorherigen Updates anschaut.

Die Verschiebungen im Ranking haben ihre Gründe

SEO proffesionell

Webseite optimieren mit SEO

Diese Verschiebungen, die bereits wenige Tage nach dem Erscheinen von Panda stattgefunden haben, scheinen mehrere Gründe zu haben. Zunächst bleibt festzuhalten, dass es zum damaligen Zeitpunkt drei verschiedene Updates gegeben hat. Die Version Panda 4.0 bzw. ihr Algorithmus hatte mit Sicherheit den größten Einfluss auf viele verschiedene Domains. Google beabsichtigte mit dem Panda-Update die Inhalte in den „SERPS“ qualitativ zu verbessern. Bei vorherigen Versionen wurde der Algorithmus durch Google konstant ausgeweitet, das brachte dem Unternehmen auch Einiges an Kritik ein. Allerdings soll das jetzt mit Panda 4.0 besser werden, denn die Auswirkungen sollen sich nun gradueller und genauer steuern lassen.

An dieser Stelle bleibt allerdings festzuhalten, dass fast zur gleichen Zeit mit der Version 4.0 das „Payday Loan“ Update erschien. Hier sind bestimmte Keywords, bei denen Geldbeträge im Spiel sind, das Ziel und zwar solche, die durch Spam gefährdet sein könnten. Mit diesem Update will Google wohl SEO-Methoden, die illegal sind bekämpfen. Ein Beispiel hierfür wären Links von gehackten WordPress-Blogs.
Hinzu kommt, dass Google nun manuelle Eingriffe vollführt und unter anderem starke Verzeichnisse aus dem Ranking herausgenommen hat.

Was ist bisher passiert und was könnte noch geschehen?

Es ist nicht zu übersehen, dass zahlreiche Themenseiten von beispielsweise großen Zeitungen, bei Google, an Sichtbarkeit eingebüßt haben. Die Einbußen waren zwar nicht extrem, aber deutlich. Bild.de bzw. der entsprechende Bereich haben durch Panda 4.0 nichts eingebüßt, hingegen zeit.de oder spiegel.de schon.
Zudem gibt es auch bei den Downloadseiten weitere Bewegung. Das Verzeichnis von Platzhirsch Softonic.de stürzte ab, aber auch dem Apple ITunes-Store erging es da nicht viel besser.

An dieser Stelle ist festzuhalten, dass Domains, die von Panda 4.0 betroffen sind, in der Vergangenheit schon Berührungspunkte mit Panda-Updates hatten, seien die nun positiver oder negativer Natur. Es gibt Domains, die durch frühere Panda-Updates deutlich an Sichtbarkeit verloren hatten, aber sich nun durch die neue Version ein wenig erholen konnten. Hier finden Sie weitere Informationenen zur Suchmaschinenoptimierung.

Dennoch ist zu erwarten, dass Domains oder Verzeichnisse mit einem umfangreichen bzw. „guten“ Inhalt zu den Gewinnern von Panda 4.0 zählen werden.