Kort vraagje: is de Bazaar of Magic ook "aangetast" door de heartbleed bug? En zo ja, hebben jullie OpenSSL al geüpdate of het probleem op een andere manier verholpen?

Geen flauw idee, ik heb het aan Ralf gemeld.

Het jammere van heartbleed is dat het juist die mensen die de beste keus hebben gemaakt voor de beveiliging van hun website (nl. open source veel gebruikte en veel bekeken software, met een SSL certificaat) pakt.

bazaarofmagic.nl kan niet aangesproken worden via HTTPS (als je https://bazaarofmagic.nl/ in je browser intikt, dan werkt dat niet), en dus heeft bom.nl er geen last van gehad. Goed, als je inlogt op je bom account in de trein, op een open wifi, of in een koffieshop of zo dan kan elke jandoedel met een laptop en een programmaatje zo je password zien danwel inloggen als jou op de site, en dat is vervelend, maar dat kon altijd al, en zal altijd kunnen, tot de bom naar een strikt HTTPS-only model overstapt.

En, ja, als ze dat eerder hadden gedaan dan was het waarschijnlijk nu even heel rap de certificate vervangen en iedereen vertellen dat ze hun wachtwoord moeten veranderen. Mgoed, hebben ze niet gedaan.

Is ook wel begrijpelijk: Hoe boeiend is het nou _echt_ dat iemand na wat creatief omspringen met een network packet scanner een forum post in jou naam kan maken?


Enfin, Ralf: Niks aan de hand voor BoM. Wereld: Ja, uh, oeps? 50% van het hele internet, juist alle sites die belangrijk waren qua beveiliging, lagen 2 jaar lang open en niemand weet wie dit wist en heeft misbruikt, en wat ze dan hebben verkregen in de laatste 2 jaar.

Zoals surial al aangeeft, maakt de website van Bazaar of Magic geen gebruik van OpenSSL. Daardoor is de website ook niet kwetsbaar voor het lek dat nu is ontdekt en actief wordt misbruikt.

Oké, bedankt voor de info!