Mich wundert, dass hier bisher kein Wort über die jüngst bekannt gewordene Sicherheitskatastrophe namens "Heartbleed" verloren wurde.
http://www.golem.de/specials/heartbleed-bug/
Gibt es irgendwelche nachvollziehbaren Gründe, dass dieses Thema hier komplett unter den Tisch gefallen ist? Oder ist es purer Zufall?
Ist nickles.de von diesem Bug in irgendeiner Form betroffen?
Gruß, mawe2
xafford 
mawe2 „Das war unsere letzte übereinstimmende Feststellung ...“
Ja, ich weiß was das bedeutet :)
mi~we hat es eigentlich schon hinreichend erklärt - das Zertifikat ist abgelaufen. Der Hintergrund ist, dass Nickles bisher nie SSL für die Verschlüsselung einsetzte und ich das schon länger ändern wollte. Deswegen wurde vor knapp 8 Wochen ein Test-Zertifikat eingerichtet, um die Umstellung auf HTTPS zu testen. Da einiges andere dazwischen kam wurde das Zertifikat vorerst nicht verlängert (wir ziehen demnächst auf neue Server um) und HTTPS nicht im Live-Betrieb aktiviert.
Aufgrund dessen war Nickles auch kurzfristig für Hartbleed anfällig, nämlich von dem Punkt an dem das Test-Zertifikat installiert wurde, bis zu dem Tag an dem die Hartbleed-Lücke publik gemacht wurde. Da der Code für HTTPS jedoch bis zu diesem Zeitpunkt nicht publik war und keine Logins oder andere sensiblen Daten über HTTPS übertragen wurden kann eine Kompromittierung von Nutzer-Daten darüber auch mit ziemlicher Sicherheit ausgeschlossen werden.
Trotzdem werden wir in nächster Zeit SSL für sensible Nutzerdaten aktivieren, aber dies ist erst sinnvoll, wenn wir den Umzug vollzogen haben.
