Was mir viel mehr aufstößt als der Heartbleed-Bug ist die löchrige Infrastruktur, die nun zutage tritt und sich in meinem Kopf etwa folgender Kommentar bildet: „Was wenn der Ernstfall eintritt?“ – „Der darf nicht eintreten!“ – „Okay! Dann ist ja alles gut!“
Mein Senf kommt spät, aber ich warte lieber ab. Der OpenSSL-Bug ist fies und hinterhältig, ist aber mit einer entsprechenden Infrsastruktur ein behebbares Problem. Software die SSL implementiert, und Revocation in einem „Trusted Certificate“ Umfeld nicht implemeniert ist aber kein Fehler sondern fahrlässig.
Das ganze zeigt wieder einmal auf, mit welcher gutgläubigen Infrastruktur wir uns gegen Angriffe sichern zu glauben.CAs und Browser können keine Zertifikatsrückrufe managen, die Server sind aufgrund der Anfragen überlastet und wie viel Software kaputte OpenSSL-Versionen verwendet, ist nicht abschätzbar.
Das Internet ist kaputt, aber es hat ihm noch keiner gesagt. Bitte, repariert es.
PS: Den Namen „Heartbleed“ als Codenamen zu verwenden ist schon eine ziemlich geniale Idee gewesen. Eingängig als Mem zu verbreiten und auch das Gleichnis, dass die Daten aus den Servern ähnlich wie Blut aus einem löchrigen Herz (‚des Internets‘) fließen macht die Krisenkommunikation deutlich effektiver.
PPS: XKCD hat eine wunderbare, Elternkompatible Erklärung zu Heartbleed veröffentlicht:
[white_box]
[/white_box]
[red_box]
Angesichts solcher Lücken ist es aus meiner Sicht keine wirkliche Frage, ob man private Daten wie z.B. Noten und Schülerdaten ins Netz legen sollte. Die Antwort lautet: NEIN!
[/red_box]