Um die Encrypted Media Extensions (EME) und damit DRM in HTML5 umzusetzen, will Mozilla künftig ein Plugin von Adobe verwenden. Das soll in einer Sandbox mit eingeschränkten Rechten laufen.
DANE könnte die Echtheitsprüfung von Zertifikaten bei TLS-Verbindungen verbessern. Allerdings benötigt das System DNSSEC - und das ist bislang kaum verbreitet. Der Mailanbieter Posteo prescht jetzt voran und will das System etablieren.
Der frühere NSA-Chef Michael Hayden ist für provokante Äußerungen bekannt. Nun bestätigte er freimütig, zu welchen Zwecken Verbindungsdaten genutzt werden können.
Nach dem Heartbleed-Bug haben viele Administratoren Zertifikate für TLS-Verbindungen ausgetauscht. Viele haben dabei jedoch einen fatalen Fehler begangen: Sie erstellten zwar ein neues Zertifikat, aber keinen neuen Schlüssel.
LinuxTag Felix 'FX' Lindner und Gregor Kopf von Recurity Labs blicken zurück auf Heartbleed und andere Sicherheitslücken in Verschlüsselungssoftware - und veröffentlichen nebenbei einen fest eingestellten Schlüssel von zahlreichen Cisco-Produkten.
In einem ausführlichen Interview hat sich der frühere NSA-Chef Alexander über die Snowden-Dokumente und die Ausnutzung von Sicherheitslücken geäußert. Normale US-Geheimdienstmitarbeiter dürfen sich aber nicht mehr öffentlich auf die Enthüllungen beziehen.
Apple hat in einem ausführlichen Dokument aufgelistet, welche Kundendaten das Unternehmen an die US-Strafverfolgungsbehörden geben kann. Sie können selbst aus passwortgeschützten iOS-Geräten und der iCloud kommen.
Update Nutzer, die das Fernwartungspaket AVG Remote Administration nutzen, sollten dringend einen aktuellen Patch installieren. Bisher war es möglich, dass Angreifer über das Programm Code einschleusen konnten - aber das ist nicht die einzige Lücke, weitere stehen noch offen.
Der Bundestagsausschuss Digitale Agenda hat erstmals öffentlich diskutiert. Im Mittelpunkt stand die Frage, wie eine sichere und einfache Kommunikation ermöglicht werden kann.
Der CCC kritisiert, dass kommerzielle Softwarelieferanten und Diensteanbieter weitgehend ohne jegliche Haftung operieren dürfen. Eine Haftung würde aber Anreize zur Qualitätssicherung schaffen. Doch auch Open-Source-Software sei nicht automatisch sicher, wie Heartbleed gezeigt habe.
Die zweite große App von John McAfees neuem Unternehmen ist fertig: Das Programm Chadder für Android und Windows Phone soll sichere Chats ermöglichen. Allerdings liegt die App nicht im Quelltext vor, man muss den Versprechen des Anbieters glauben.
Apple behauptet, dass die E-Mails und ihre Anhänge unter iOS 7 verschlüsselt aufbewahrt werden, doch das stimmt nicht ganz. Attachments liegen ungeschützt auf dem Gerät.
Bezahlen mit einem tiefen Blick in einen Scanner: Forscher am Dresdner Fraunhofer IPMS haben einen Retinascanner entwickelt, der klein genug ist für den mobilen Einsatz. Auch an Datenschutz ist gedacht.
Mit einem Erziehungssystem will ein Sicherheitsexperte für sichere Passwörter sorgen. Wer ein zu schwaches Passwort eingibt, muss es häufiger wechseln.
Die umstrittene Bitcoin-Wallet Darkwallet ist in einer Alpha-Version erschienen. Sie verspricht mehr Anonymität bei Transaktionen mit der Kryptowährung. Die Entwickler wollen damit die ursprüngliche Idee der digitalen Währung wieder aufleben lassen.
Nach der NSA-Affäre sind verschlüsselte E-Mails wieder stärker in den Fokus der Öffentlichkeit gerückt. Auch bei Golem.de hat die Diskussion Spuren hinterlassen: Die Redaktion traf sich zur Kryptoparty, um die Verschlüsselung mit GnuPG einzurichten.
Das Tails-Team hat in Version 1.0 seines Betriebssystems teils kritische Sicherheitslücken behoben, die unter anderem auf den Heartbleed-Bug zurückzuführen sind.
Die Brancheninitiative "E-Mail Made in Germany" meldet die Umsetzung der SSL/TLS-Verschlüsselung. Sehr viel interessanter ist allerdings, dass auch Perfect Forward Secrecy implementiert wurde.
Die Aktien eines durch Sicherheitslücken in Verruf geratenen Unternehmens verlieren an Wert. Mit seinem Hedgefonds will der Hacker Weev durch sogenannte Leerverkäufe Profit aus den sinkenden Aktienkursen schlagen. Kritiker nennen das Vorgehen "schleimig."
Es sind wohl mehr Benutzer von dem Einbruch vor wenigen Tagen betroffen als bisher bekannt. Das hat AOL jetzt mitgeteilt. Die gestohlenen Daten werden für eine Spam-Flut genutzt.
Die US-Standardisierungsbehörde Nist zieht Dual EC DRBG offiziell zurück. Der Zufallszahlengenerator wurde von der NSA entwickelt, enthält nachweisbare Fehler und eventuell Hintertüren.
Der Heartbleed-Bug hat die großen Internetkonzerne aufgeschreckt. Nachdem sie sich jahrelang des kostenlosen OpenSSL-Codes bedient haben, wollen sie nun die Programmierung unterstützen.
Der OpenSSL-Code sei zu chaotisch, um ihn zu reparieren, sagt OpenBSD-Gründer Theo de Raadt der US-Seite Ars Technica. Das rechtfertige die Aufräumarbeiten und den Fork LibreSSL.
Trotz eines Patches sollen Netgear-Router weiterhin eine Sicherheitslücke aufweisen. Das Unternehmen will die Vorwürfe prüfen und notfalls weitere Updates bereitstellen.
Sie sieht aus wie Google und funktioniert auch genau so: Grams ist die bisher nützlichste Suchmaschine fürs Tor-Netz, durchsucht aber leider nur Märkte für Drogen und Waffen.
Nach dem Beginn von Aufräumarbeiten hat das OpenBSD-Team offiziell einen Fork von OpenSSL gestartet. Das Projekt LibreSSL soll erstmals in OpenBSD 5.6 erscheinen, das für kommenden November geplant ist.
NSA-Whistleblower Edward Snowden hat nach eigenen Angaben das Betriebssystem Tails verwendet, um sich verschlüsselt und anonym im Netz zu bewegen. Wir haben uns die Linux-Distribution angesehen.
Mehrere Monate hat Netgear gebraucht, um einen offenen Port in einigen WLAN-Routern zu schließen. Doch anstatt die Lücke zu schließen, wurde sie möglicherweise nur gut versteckt.
Hundertfünfzig Rechner in der Hamburger Verwaltung sind im Januar 2014 tagelang durch den Cridex-Trojaner lahmgelegt worden. Das hat der Senat bestätigt. Der Trojaner installiert auch einen Keylogger, doch einen Datenverlust hat es angeblich nicht gegeben.
In der TLS-Bibliothek von Java wurde ein Problem gefunden, welches unter Umständen das Entschlüsseln von Verbindungen erlaubt. Es handelt sich dabei um die Wiederbelebung eines Angriffs, der bereits seit 1998 bekannt ist.
Das BSI hat eine Woche nach Bekanntwerden des Heartbleed-Bugs erneut vor der Sicherheitslücke gewarnt. Es gebe verstärkt Scans nach der Lücke. Erstmals wurde ein Fall bekannt, in dem Heartbleed ausgenutzt worden sein soll.
Die Spezifikation der TLS-Verschlüsselung ist ein Gemischtwarenladen aus exotischen Algorithmen und nie benötigten Erweiterungen. Es ist Zeit für eine große Entrümpelungsaktion.
Eine Untersuchung des Bootloaders und des Windows-Kernel-Treibers von Truecrypt hat keine Auffälligkeiten ergeben. Die Überprüfung war von Sicherheitsforschern angeregt worden, die Zweifel an der Verschlüsselungssoftware hatten.
Entwickler des OpenBSD-Projekts haben begonnen, den Code der Kryptobibliothek OpenSSL zu entrümpeln. Ob ihre Änderungen vom OpenSSL-Projekt übernommen werden, ist aber ungewiss.
Intern diskutieren Entwickler bei Google offenbar darüber, verschlüsselte Webseiten bei der Suche zu bevorzugen und so deren Verbreitung zu fördern. Konkrete Pläne gebe es noch nicht, berichtet das Wall Street Journal.
Kaputte Zertifikate durch Heartbleed und der NSA-Skandal: Es gibt genügend Gründe, seinen eigenen Cloud-Speicher einzurichten. Wir erklären mit Owncloud auf einem Raspberry Pi, wie das funktioniert.
Google-Entwickler haben den Heartbleed-Bug zwar mit entdeckt, dennoch hat auch Google seine Suchmaschine und Android 4.1.1 patchen müssen. Hersteller müssen jetzt schleunigst nachbessern.
Im Zuge von Heartbleed sollen Serverbetreiber ihre Zertifikate erneuern und die alten zurückziehen. Das Problem dabei: Das bringt fast nichts, denn kein einziger Browser prüft die Gültigkeit der Zertifikate auf sichere Weise.
US-Präsident Barack Obama soll der National Security Agency (NSA) nach Angaben der New York Times erlaubt haben, entdeckte Sicherheitslücken unter bestimmten Umständen zu verschweigen. Allerdings nur in Ausnahmefällen, regulär soll die NSA Sicherheitslücken bekanntmachen.
Zwei Personen ist es gelungen, private Schlüssel mit Hilfe des Heartbleed-Bugs aus einem Nginx-Testserver auszulesen. Der Server gehört der Firma Cloudflare, die mit einem Wettbewerb sicherstellen wollte, dass das Auslesen privater Schlüssel unmöglich ist.
Die National Security Agency soll nach einem Medienbericht zwei Jahre lang den Heartbleed-Bug von OpenSSL gekannt und regelmäßig genutzt haben, um Informationen zu sammeln. Die NSA bestreitet das, während eine Bürgerrechtsorganisation erste Hinweise gefunden haben will.
Cisco und Juniper Networks haben in offiziellen Warnungen vor dem Heartbleed-Bug in ihren Produkten gewarnt. Nicht nur Server, sondern auch zahlreiche Netzwerkprodukte und Software seien betroffen.
Weder Mac OS X, iOS noch Apples Dienste wie iCloud sind von der Heartbleed-Schwachstelle betroffen. Denn Apple verzichtet auf OpenSSL. Einige Apps verwenden die Kryptobibliothek jedoch.
Der deutsche Programmierer Robin Seggelmann, auf den die Lücke in OpenSSL zurückzuführen ist, hat sich erstmals zu dem Fehler geäußert. Der Bug soll aus Versehen durch eine nicht in der Länge überprüfte Variable entstanden sein. Auch bei einem Review des Quelltextes fiel das nicht auf.
Ein Systemadministrator hat angeblich in einem Logfile vom November letzten Jahres Exploit-Code für den Heartbleed-Bug gefunden. Die EFF ruft andere Administratoren zu Nachforschungen auf.
Der Heartbleed-Bug gilt als eine der gravierendsten Sicherheitslücken aller Zeiten. Millionen SSL-gesicherte Websites waren betroffen, erste Missbrauchsfälle sind bekanntgeworden. Können Unternehmen und Admins, die den Fehler nicht behoben haben, für Schäden belangt werden? Golem.de hat nachgefragt.
Update Wenn sich mit Blackberry-Smartphones kein Gewinn erzielen lasse, werde er die Sparte eventuell veräußern, sagt Blackberry-Chef John Chen. Einen konkreten Zeitpunkt nannte er nicht, und dementierte sein eigenes Interview dann umgehend.
Ein neuer Mechanismus zum Laden von Anwendungen verbessert die Leistung von Rake oder Generatoren deutlich. Zudem soll der Umgang mit Passwörtern nun sicherer sein.
Update Der Heartbleed-Bug in OpenSSL dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Wir haben die wichtigsten Infos zusammengefasst.
