mobile.me Sicherheit eine Frechheit?

[steza]

Hallo zusammen,

bei .MAC war es mir ja schon aufgefallen, was für mich der Hauptgrund war, diesen Dienst nicht und niemals zu nutzen.

Sind unsere und eure Daten da sicher? Ich behaupte mal nein.

Warum? ...

Eine verschlüsselte Übertragung der Daten findet nur bei Login und Logout statt.
Damit wird also das Passwort und der Username verschlüsselt übertragen. Soweit so gut. Sobald man bei mobile.me allerdings eingeloggt ist, schaltet Apple die Verschlüsselung ab ...

Dies sieht man unter anderem daran, dass nur noch mit http statt https gearbeitet wird.

Stimmt das soweit?

Dies würde für mich jetzt bedeuten in einem freien WLAN könnten Lauscher die Übertragung der Daten beispielsweise mittels ARP-Spoofing abfangen. Gelangen sie in den Besitz des Session Cookies, könnten sie sogar komplett die Kontrolle übernehmen und alles mögliche machen. Als weiteres Beispiel könnte unsere IT in der Firma meinen Mailverkehr belauschen und ich kann nichts dagegen tun. Da ich weiß, dass sie scannen, kommt Mobile.me nicht mehr in Frage (SEHR SCHADE).

Nunja, wenn dem so ist, finde ich es eine echte Frechheit von Apple, für das Geld erwarte ich ein Maximum an Sicherheit. Eine permanente Verschlüsselung geht natürlich zu Lasten der Performance und kostet somit Apple mehr Geld. Dann zahl ich aber lieber 100EUR und bin save.

Wie seht ihr das mit der Sicherheit???

Wenn ich Recht habe, kann ich nur jeden warnen diesen Dienst zu nutzen. Apple muss hier nachbessern.

Viele Grüße,
steza

 

[Hallo]

Ja, Sicherheit und Internet!

 

[MacEvangelist]

Es ist jetzt nur ein subqualifizierte Vermutung, aber mal ehrlich, glaubst du wirklich, dass die Adresszeile deines Browsers eine definitive Aussage im Stande ist zu treffen ob dieser Dienst sicher ist??
Ich glaube das nicht!

LG, Eva

 

[steza]

Ich glaube das nicht!

LG, Eva

Glaubst du es, oder weißt du es?

Ich werde morgen mal nen Sniffer installieren, dann weiß ich hoffentlich noch mehr.

 

[MacEvangelist]

Setze meinen Namen in Zusammenhang mit Wissenschaft und du wirst erkennen, dass das alles nur auf Glauben basiert. Mal ehrlich, ein https ist aber auch kein Zertifikat für Sicherheit.....

LG, Eva

 

[steza]

Mal ehrlich, ein https ist aber auch kein Zertifikat für Sicherheit.....

LG, Eva

Sicher ist nichts, das ist schon klar.

Aber es macht einen gewaltigen Unterschied, ob meine Emails, Photos (die vielleicht nicht gerade), Termine .... usw. in Klartext übers Netzwerk übertragen werden.

Mit sicherheit ist es bei einem zu Hause nicht so wichtig ...

Aber wo werde ich denn den Web-Zugang www.me.com denn verwenden ...

In Internet Kaffees, in meiner Firma ... bei Freunden ... alles potentielle Spots zum Sniffen

--- Ich bin echter Apple Fan, finde das aber sehr enttäuschend. Auf mobile.me habe ich mich am meißten gefreut ---

Wenn ich mir vorstelle darüber noch das Schlüsselbund zu syncronisieren, da wird mir schlecht xD

 

[HotblackDesiato]

ein https ist aber auch kein Zertifikat für Sicherheit.....

Komisch, denn genau DAS ist es eigentlich. Es wird ein Zertifikat benutzt, das die Gegenstelle als diese auszeichnet und die Übertragung verschlüsselt. Bei einer ausreichend starken Verschlüsselung ist zumindest die Übertragungsstrecke als sicher zu bezeichnen.

Ob dann die Server von Apple sicher sind, dein eigenes Passwort stark genug ist oder du dein Notebook ständig offen stehen lässt, ist wieder eine andere Geschichte. Aber MobileMe würde ich eh keine sensiblen Daten anvertrauen. Dafür fehlt bisher einfach jegliches Vertrauen in die Fähigkeiten der Leute, die für MobileMe verantwortlich sind.

Für einen öffentlichen Zugang ist dieser Dienst über das Webinterface demnach eigentlich nicht zu gebrauchen. Bei Freemailern kann man da sicherlich ein Auge zudrücken. Sobald etwas höhere Beträge im Spiel sind, aber eigentlich nicht mehr. Denn wenn man die Leistung und den Preis z.B. mit GMX vergleicht, muss man sich schon fragen, wo unser Geld eigentlich investiert wird. Auf eine Quersubventionierung des iPhones habe ich eigentlich keine Lust.

Ich bin so gesehen nicht bereit, für Standardleistungen mehr zu zahlen.

 

[cyberchriss]

Eine verschlüsselte Verbindung halte ich für solche Dienste wie mobileme für zwingend notwendig und technisch auch leicht zu realisieren. Es würde mich wundern, wenn Apple in diesem Punkt darauf verzichten würde.
Daher bin ich wirklich gespannt, was Deine Ergebnisse liefern steza.

Imo bin ich auch schwer am überlegen, ob sich mobileme für mich lohnen würde. Werde mir wohl mal einen Testaccount besorgen und mir das ganze anschauen müssen *g*

 

[true_joshua]

Auf eine Quersubventionierung des iPhones habe ich eigentlich keine Lust.

Ich glaube das iPhone subventioniert sich schon ganz gut selbst!

 

[HotblackDesiato]

Ich glaube das iPhone subventioniert sich schon ganz gut selbst!

Das Gerät an sich bestimmt. Nur habe ich momentan irgendwie das Gefühl, dass 80 % der Apple-Belegschaft am iPhone sitzt und alles andere nur noch nebenher erfolgt. So gesehen habe ich auch das Gefühl, dass mein Geld nicht in die Entwicklung und Sicherstellung der Dienste fließt, für die ich eigentlich bezahle, sondern in den immer größer werdenden Hype-Topf umgelenkt wird. Aber da Gefühle trügerisch sind, werde ich wohl Unrecht haben ...

 

[User 12794]

Die Daten liegen auf amerikanischen Servern - wer macht sich da noch Gedanken über https-Verbindungen?!

 

[philz]

Die Daten liegen auf amerikanischen Servern - wer macht sich da noch Gedanken über https-Verbindungen?!

Ich verstehe diesen Zusammenhang nicht.

In diesem Thread geht es doch nicht um die Sicherheit bzgl. der Daten auf dem Server, sondern um die Sicherheit der Verbindung zum Server, speziell der Schutz vor sog. man-in-the-middle-Angriffen.

 

[true_joshua]

Das Gerät an sich bestimmt. Nur habe ich momentan irgendwie das Gefühl, dass 80 % der Apple-Belegschaft am iPhone sitzt und alles andere nur noch nebenher erfolgt. So gesehen habe ich auch das Gefühl, dass mein Geld nicht in die Entwicklung und Sicherstellung der Dienste fließt, für die ich eigentlich bezahle, sondern in den immer größer werdenden Hype-Topf umgelenkt wird. Aber da Gefühle trügerisch sind, werde ich wohl Unrecht haben ...

Ich weiß nicht, es wird nur noch gemeckert und kritisiert. Ich denke Apple tut sein bestes und rückwirkend haben sie immer einen guten Job gemacht. Natürlich geht immer alles noch besser und alle haben unterschiedliche Erwartungshaltungen. Jeder der in irgendeiner Form mal etwas für andere gemacht hat wird wissen, dass man sich immer doppelt anstrengen muss um anderen das Gefühl zu geben, dass etwas unternommen wird.

 

[User 12794]

Hi,

In diesem Thread geht es doch nicht um die Sicherheit bzgl. der Daten auf dem Server, sondern um die Sicherheit der Verbindung zum Server, speziell der Schutz vor sog. man-in-the-middle-Angriffen.

Der TO stellte als erstes die Frage: "Sind unsere und eure Daten da sicher? Ich behaupte mal nein."

Ich verstand dies als Frage nach den Daten bei MobileMe. Dass dies hier eine "Verbindungs-orientierte" Diskussion wurde stimmt schon. Man sollte sich keine Illusionen über sichere Verbindungen zur Vermeidung von Man-in-the-middle-Angriffen machen, wenn die größere Abhörgefahr auf den Servern lauert. Sicherheit hat man nur, wenn die gesamte Kommunikationskette sicher ist.

Ohne X.509-Unterstützung auf der Web-Seite von MobileMe und X.509-Unterstützung auf dem iPhone würde ich damit die Ursprungsfrage von steza mit "Nein" beantworten.

Zur SSL/https-Thematik (bei der Übertragung) habe ich nichts hinzuzufügen.

 

[philz]

Da gebe ich dir Recht. Da hat sich der Ersteller des Thread etwas unverständlich ausgedrückt.

Dennoch schätze ich das Gefährdungspotenzial durch Kriminelle mit Sniffern an öffentlichen Hotspots höher ein als durch Apple oder gesetzlich ermächtigte Behörden aufgrund des amerikanischen Rechtsraumes. Die Kriminellen sind schließlich darauf aus, die unrechtmäßig gewonnen Daten entsprechend zu illegalen Zwecken zu verwerten und den Einzelnen dadurch zu schädigen, die Behörde um illegale Aktivitäten zu verhindern.

 

[Julia-DD]

Also, wer sich richtig viel Gedanken um Sicherheit und Datenübertagung macht, sollte die folgenden zwei Dinge vll überhaupt nicht tun:
1) öffentliche Lans oder Hotspots nutzen
2) vertrauliche Daten ins Netz übertragen

Bei jeder Datenübertragung besteht die Möglichkeit, dass sich jemand dazwischenschaltet oder mitliest. Ansonsten muss man eben entweder mit dem Risiko leben oder den entsprechenden Service, an dem man zweifelt, nicht in Anspruch nehmen. Oder aber - in diesem Fall - Apple um Auskunft bitten was die Sicherheit betrifft und ggf. um Nachbesserung bitten.

 

[philz]

Julia, nimm es mir nicht übel, aber diese Aussage höre ich immer wieder von Menschen, die mit Protokollen nicht vertraut sind.
Genau https sorgt doch (neben der Verschlüsselung) mit den korrekt erstellten Zertifikaten und der damit verbundene Authentifizierung, dass man sich sicher sein kann, mit wem man kommuniziert.

Als Vergleich zu deinem zweiten Absatz nehme ich ein Schließzylinder einer Haustür.
Wieso abschließen, wenn der Schlüsseldienst oder Kriminelle das Haustürschloss eh mit entsprechendem Werkzeug in kurzer Zeit ohne Spuren öffnen können?
Wer wirklich sicher sein will, der soll sich die Haustür zumauern lassen oder eben ein entsprechendes Sicherheitsschloss benutzen. Natürlich ist ein Einbruch je nach Lage der Wohnung/des Hauses auffälliger, aber genau aus diesem Grund, da Sniffing relativ unbemerkt stattfindet, sollte man auf die neuesten Sicherheitsstandards zurückgreifen.

 

[User 12794]

... die Behörde um illegale Aktivitäten zu verhindern.

Hoffentlich.

 

[cyberchriss]

Noch nen Tipp zu der öffentlichen Hotspot-Thematik:
Stichwort VPN
Es gibt nicht nur sehr kostenkünstige VPN-Anbieter (3-5 Euro/Monat), sondern viele haben auch über ihre breitbandigen Internetanschlüsse z.H. die Möglichkeit über ein sicheres VPN-Netz zu surfen.

Dass die Mitarbeiter eines Diensteanbieters Zugriff auf die dort gehosteten Daten haben, wird den meisten hier bewußt sein. Inwieweit es die user stört, wenn die amerikanische Regierung in deren Daten rumstöbert, muß jeder für sich selbst beurteilen. Bei andere Anbieter (gmx, yahoo, arcor, etc) besteht im Übrigen die selbe Gefahr.

Daher bleibt die anfänglich angesprochene Frage:
Verschlüsselt Apple die Daten zwischen mobileme und user, oder beschränkt sich diese lediglich auf die Authentifizierung.

 

[philz]

Das ist richtig, jedoch ist meist die Bandbreite durch den VPN Anbieter begrenzt und die Zusatzkosten unnötig, wenn sich Apple endlich bewegen würde.
Zum normalen Surfen jedoch vollkommen ausreichend.