die wöchentliche SSL/TLS Lücke

ich liebe es



1 mal bearbeitet, zuletzt am 04.03.15 08:15 durch nicoledos.

nicoledos schrieb:
--------------------------------------------------------------------------------
> ich liebe es


Ich jetzt weniger

Na ja, ich würde das jetzt nicht direkt als SSL/TLS Lücke sehen.
Wie es aussieht, betrifft das ja nur schlecht konfigurierte Server (mal wieder). Natürlich kann man das auch einer Software zuschreiben, weil sie diese schlechte Konfiguration sicher noch eher begünstigt als verhindert, aber am Ende muss man ja wohl nur den Server entsprechend konfigurieren.

Was will man auch erwarten?
Ich kenne unter Anderem mehrere Leute, die in nicht unbekannten Unternehmen jeweils in der IT sitzen, wo allen Ernstes noch darüber diskutiert wird ob die Server geupdatet werden.
Die reden sich den Mund fusslig vor den Vorgesetzten, und am Ende läuft es immer nur auf billige Workarounds hinaus. Dann müssen sie noch uralte Linux/Windows Installationen in einen Flickteppich verwandeln, die noch ganz andere Probleme haben, aber Hauptsache man "durfte" mal OpenSSL und dergleichen aktualisieren.

Ungotteswillen. Da lobe ich mir doch meine eher unbekannte Firma, in der ich stellvertretend den Sysadmin spiele. Hier darf ich mich nach Herzenslust austoben :D

Xiut schrieb:
--------------------------------------------------------------------------------
> Na ja, ich würde das jetzt nicht direkt als SSL/TLS Lücke sehen.
> Wie es aussieht, betrifft das ja nur schlecht konfigurierte Server (mal
> wieder). Natürlich kann man das auch einer Software zuschreiben, weil sie
> diese schlechte Konfiguration sicher noch eher begünstigt als verhindert,
> aber am Ende muss man ja wohl nur den Server entsprechend konfigurieren.

Das Problem dabei ist, dass für die meisten bis zu dem Punkt durchaus eine valide Konfiguration vorliegt und lediglich die Relikte der genutzten Programme dafür verantwortlich sind, dass man unsicher fährt.

Soll man SSL dann abschalten oder was?

Die genutzte Software ist gängige Software wie so von vielen Milliarden Konfigurationen weltweit genutzt wird, da ist so erst mal nichts _richtig_ oder _falsch_ dran.

drmccoy schrieb:
--------------------------------------------------------------------------------
> Ungotteswillen. Da lobe ich mir doch meine eher unbekannte Firma, in der
> ich stellvertretend den Sysadmin spiele. Hier darf ich mich nach
> Herzenslust austoben :D

In einem Kindergarten kann ich mich auch austoben, es gibt aber auch Unternehmen, die Umsatz machen und da kann man nicht mal eben neue Konfigurationen teste, Server neu starten geschweige denn temporär abschalten oder sonst etwas.

Eine IT ist kein Spielplatz für Update-freudige, Updates sollte man immer bedacht fahren.

Es ist nicht verwerflich, dass die meisten Unternehmen noch Windows 7 nutzen z.B.

Und wo interpretierst du jetzt hinein, dass ich meine Updates nicht mit Bedacht fahre?

Vielleicht bin ich aber auch noch zu klein um es zu verstehen und sollte mich lieber erstmal mit Unternehmen befassen, die Umsatz machen :)

drmccoy schrieb:
--------------------------------------------------------------------------------
> Und wo interpretierst du jetzt hinein, dass ich meine Updates nicht mit
> Bedacht fahre?
>
> Vielleicht bin ich aber auch noch zu klein um es zu verstehen und sollte
> mich lieber erstmal mit Unternehmen befassen, die Umsatz machen :)

"Hier darf ich mich nach Herzenslust austoben :D"