blog

iPhone firmware 2.1 released - what's still missing

Everyone is writing about the new 2.1 firmware that Apple released for the iPhone - about improved battery life, increased 3G reception and so on. It is definitely a fine release with a lot of good improvements. But more important - what's still missing in the 2.1 firmware? Here is my (incomplete) list of items that Apple should add to the next iPhone firmware:
  • Copy & paste across applications (see comic)
  • Synchronize Notes and TODO items with iCal and me.com
  • Push notification service for applications (promised for September!)
  • Usage of the phone as modem ("tethering")
  • Allow developers to talk about iPhone development in the public
  • 3rd party syncing through iTunes
  • Access to the iDisk through the iPhone
  • Support for stereo Bluetooth headsets
  • Real navigation (and a Bluetooth GPS extension for the first generation iPhone)
Don't get me wrong - the 2.1 release is the best iPhone software they have delivered so far, but there is still a lot of room for improvement. Not only for the iPhone but also for me.com, which is insecure and lacks features like the iDisk sharing.

(Image from Geek And Poke)

Labels: , , , ,

Posted by Michael Baierl on Tuesday, September 16, 2008, 4 comments
Link: http://mbaierl.com/blog/2008/09/iphone-firmware-21-released-whats-still.html

SSL ist unnötig! CSS ist verschlüsselt!

Ja, laut Apple zumindest, ist SSL völlig unnötig. Warum und wie ich darauf komme, dies zu behaupten? Nun, ich maile schon seit einiger Zeit mit dem Apple-Support betreffend des Sicherheitsproblems von MobileMe. Und irgendwie kommt mir vor sie verstehen das Problem nicht - dass die Daten wie z.B. E-Mails, das Addressbuch oder Kalendereinträge unverschlüsselt zwischen meinem Rechner und den MobileMe-Servern übertragen werden. Was man nicht nur an der URL erkennen kann sondern sich auch sehr leicht mit z.B. Firebug, Fiddler oder Wireshark nachvollziehen lässt.
Nun schreibt mir aber der Apple-Support folgendes:
...die SSL-Verschluesselung stellt sicher, dass Sie mit dem richtigen Server verbunden werden und dass Ihr Benutzername und Passwort verschluesselt uebertragen werden.
Ein Aufzeichnen von Netzwerkverkehr ist nur moeglich, wenn das Netzwerk unsicher ist, d.h. das Passwort oder die Verschluesselungsart zu schwach ist bei WLAN-Netzen o.a..
Und genau darum geht es. Unsichere Netzwerke wie z.B. Hotspots. Oder einfach nur die Sicherheit, dass meine Kontakt-(Kunden?)-Daten nicht abgefangen werden können! Auf meine Bitte zur Klärung mit Technikern habe ich die folgende Antwort erhalten:
...es tut mir leid, dass ich nicht genauer auf die Sicherheit von MobileMe eingegangen bin. Tatsächlich basiert MobileMe auf Javascript und CSS, beides ist mit der neuesten Verschlüsselungstechnologie gesichert. Da alle Vorgänge auf unseren Servern ablaufen, ist kein SSL notwendig. SSL ist lediglich für den Loginvorgang notwendig, da dieser Clientseitig, also auf Ihrem Rechner passiert.
Aha. CSS ist also verschlüsselt. Genau. Und das Login passiert im Browser. Genau. SSL ist also wirklich völlig unnötig!

Labels: , , , , ,

Posted by Michael Baierl on Tuesday, August 26, 2008, 1 comments
Link: http://mbaierl.com/blog/2008/08/ssl-ist-unntig-css-ist-verschlsselt.html