blog

Ja, laut Apple zumindest, ist SSL völlig unnötig. Warum und wie ich darauf komme, dies zu behaupten? Nun, ich maile schon seit einiger Zeit mit dem Apple-Support betreffend des Sicherheitsproblems von MobileMe. Und irgendwie kommt mir vor sie verstehen das Problem nicht - dass die Daten wie z.B. E-Mails, das Addressbuch oder Kalendereinträge unverschlüsselt zwischen meinem Rechner und den MobileMe-Servern übertragen werden. Was man nicht nur an der URL erkennen kann sondern sich auch sehr leicht mit z.B. Firebug, Fiddler oder Wireshark nachvollziehen lässt.
Nun schreibt mir aber der Apple-Support folgendes:

...die SSL-Verschluesselung stellt sicher, dass Sie mit dem richtigen Server verbunden werden und dass Ihr Benutzername und Passwort verschluesselt uebertragen werden.
Ein Aufzeichnen von Netzwerkverkehr ist nur moeglich, wenn das Netzwerk unsicher ist, d.h. das Passwort oder die Verschluesselungsart zu schwach ist bei WLAN-Netzen o.a..

Und genau darum geht es. Unsichere Netzwerke wie z.B. Hotspots. Oder einfach nur die Sicherheit, dass meine Kontakt-(Kunden?)-Daten nicht abgefangen werden können! Auf meine Bitte zur Klärung mit Technikern habe ich die folgende Antwort erhalten:

...es tut mir leid, dass ich nicht genauer auf die Sicherheit von MobileMe eingegangen bin. Tatsächlich basiert MobileMe auf Javascript und CSS, beides ist mit der neuesten Verschlüsselungstechnologie gesichert. Da alle Vorgänge auf unseren Servern ablaufen, ist kein SSL notwendig. SSL ist lediglich für den Loginvorgang notwendig, da dieser Clientseitig, also auf Ihrem Rechner passiert.

Aha. CSS ist also verschlüsselt. Genau. Und das Login passiert im Browser. Genau. SSL ist also wirklich völlig unnötig!

Labels: apple, deutsch, iphone, mobileme, rant, security