Ja, laut Apple zumindest, ist SSL völlig unnötig. Warum und wie ich darauf komme, dies zu behaupten? Nun, ich maile schon seit einiger Zeit mit dem Apple-Support betreffend des Sicherheitsproblems von MobileMe. Und irgendwie kommt mir vor sie verstehen das Problem nicht – dass die Daten wie z.B. E-Mails, das Addressbuch oder Kalendereinträge unverschlüsselt zwischen meinem Rechner und den MobileMe-Servern übertragen werden. Was man nicht nur an der URL erkennen kann sondern sich auch sehr leicht mit z.B. Firebug, Fiddler oder Wireshark nachvollziehen lässt.
Nun schreibt mir aber der Apple-Support folgendes:

…die SSL-Verschluesselung stellt sicher, dass Sie mit dem richtigen Server verbunden werden und dass Ihr Benutzername und Passwort verschluesselt uebertragen werden.
Ein Aufzeichnen von Netzwerkverkehr ist nur moeglich, wenn das Netzwerk unsicher ist, d.h. das Passwort oder die Verschluesselungsart zu schwach ist bei WLAN-Netzen o.a..

Und genau darum geht es. Unsichere Netzwerke wie z.B. Hotspots. Oder einfach nur die Sicherheit, dass meine Kontakt-(Kunden?)-Daten nicht abgefangen werden können! Auf meine Bitte zur Klärung mit Technikern habe ich die folgende Antwort erhalten:

…es tut mir leid, dass ich nicht genauer auf die Sicherheit von MobileMe eingegangen bin. Tatsächlich basiert MobileMe auf Javascript und CSS, beides ist mit der neuesten Verschlüsselungstechnologie gesichert. Da alle Vorgänge auf unseren Servern ablaufen, ist kein SSL notwendig. SSL ist lediglich für den Loginvorgang notwendig, da dieser Clientseitig, also auf Ihrem Rechner passiert.

Aha. CSS ist also verschlüsselt. Genau. Und das Login passiert im Browser. Genau. SSL ist also wirklich völlig unnötig!

Wow, finally Apple has launched MobileMe together with the iPhone 2.0 software. So time for a first test.

But wait – the so called “launch” itself was a fiasco. Apple had so much time to prepare everything and then users of the old .mac service have not been able to access their Mail and data for over a day! Wow.
After so much preparation and with so much media attention this must not happen. Not to Apple, no way.

Anyways, it happened. And there are other issues as well…. despite the fact that Apple integrated MobileMe with the iPhone 2.0 software (which is buggy and needs to be fixed as well) and it is super simple to use there are some issues:

• Missing encryption – only the authentication pieces are encrypted using SSL, everything else runs unencrypted. I don’t want to transfer my mails, my contacts (!!!) or my calendar information unencrypted, so unless they use https for all of their tools this is a no-go.
• Announced features like file sharing are missing; Apple definitely has to deliver these promised features and has to continue improving the service.
• Buggy like hell - after working with the (smart and beautiful) Web interface for a while I already discovered a lot of display bugs where data is not rendered or settings are not persistent.
• I’m forced to buy iLife 08 as the gallery is not supported using iLife 06. Another 80 bucks to pay.

So… right now MobileMe is does a great job when syncing data between the iPhone and various Macs, as I don’t need to sync manually, but the Web interface is insecure to use. A no-go. For now. Let’s see how it evolves.