Wie funktioniert die Sicherheit bei Mobil Me (mome)?

Es ist bei sehr vielen Diensten so, das nur der Loginbereich gesichert ist, was auch meist ausreicht. Nur beim Anmelden mit deinen persönlichen Daten werden weitestgehend sensible Daten ans Internet übermittelt. Genau diese Daten werden aber eben via SSL verschlüsselt. Nachdem die Verifizierung erfolgeich war, kann eigentlich wenig passieren. Schließlich müsste derjenige der dir Schaden anfügen will wissen, mit welchen Daten du dich angemeldet hast. Doch eben genau diese Daten fehlen ihn. Und wie du ebenfalls fest gestellt hast ist der wirklich “empfindliche” Bereich (Dein Benutzerprofil) dann wieder mit einem SSL Schutz versehen. Auch hier wieder ein klarer Grund… Hier stehen nicht nur deine persönlichen Daten sondern auch Informationen zu deiner Kreditkarte. Auch GMail macht das nicht anders. Du bist nur beim Anmeldefeld auf einer sicheren Seite. Nach dem Login ist das SSL wieder weg. Das ist bei fast allen Freemailern so. Ich glaube bei GMX kann man anhand einer speziellen Adresse dauerhaft mit SSL online bleiben, birgt aber auch Geschwindigkeitseinbußen.

Dauerhaftes SSL sollte man jedoch bei Banken erwarten die Onlinebanking anbieten. Hier werden permanent wichtige Daten übermittelt die jemand zu eigenen Nutzen missbrauchen könnte.

Übrigens… Häufig werden Logindaten auch in einem Cookie gesichert. Ein “Kullerkeks” der sich deine Anmeldedaten merkt, was Browserintern geschieht. Das kann ein viel höheres Risiko bergen als das übermitteln der Daten via SSL. Cookies können bestenfalls ausgelesen werden oder “missbraucht”. Kann man letztlich auch selber ganz einfach mal ausprobieren. Man erstellt ein Firefoxprofil unter einem neuen Benutzernamen. Kopiert alle Infos des alten profils in das neue und schwupps…. Firefox ist genau so schlau wie unter dem alten Profil. Darum sollte man sich auch mal mit den Internetkeksen befassen und gut überlegen, ob man die wirklich permanent und überall zulassen möchte. Man sollte dabei aber auch nicht alle Cookies ablehnen. Sonst kann es passieren das man z.B. nicht mehr in dieses Forum kommt. Der Browser merkt sich nicht mehr, das du es bist der sich angemeldet hat. Er wirft dich trotz der Meldung eines erfolgreichen Logins sofort wieder raus. Er ist praktisch zu doof sich zu merken, das du das bist :-)

Zu guter letzt sollte man auch vorsichtig damit sein, wenn Browser eine interne Passwortverwaltung anbieten. Bei Safari geht’s fast noch, weil die Passwörter nicht im Safari selbst gesichert werden, sondern im Schlüsselbund von Mac OS X. Das ist etwas sicherer. Bei Firefox werden Passwörter Programmintern gesichert, also wieder in deinem Profil. Lässt man Firefox Passwörter merken, sollte man diese wenigstens mit einem Masterpasswort schützen. Dann hat es der Angreifer nicht so leicht. Am besten ist eine Lösung wie 1Password, eine Shareware die sich all deine Paswörter merkt, komplexe Passwörter erstellt und diese dann wiederum für alle gängigen Mac OS X Browser verfügbar macht.

Hoffe ich habe nun nicht alles noch mehr durcheinander gebracht :-)

@Kampf_Katze

Wau, herzlichen Dank für ausführliche Antwort. Super nichts ist durcheinander : )

ciao kampf-katze, ich danke dir für die antwort, ich habe zwar die frage nicht gestellt, aber schon wieder was gelernt, herzlichen dank nochmals

gruss martin

Hallo Kampf_Katze

Vielen Dank für Deine ausführliche Antwort.

Ich habe mir die Frage gestellt, ob die me.com-Daten wohl auf einem virtuellen Image bei Apple abgelegt sind oder nicht. Ich frag mich, wieso die Verbindung zwischen dem Rechner und me.com-Server nicht mit einer IPsec-Verbindung (VPN) aufgebaut und betrieben wird. Schliesslich bietet das ja Mac OS X von Haus aus an.

Der hohe Schutz der Kredit- und Profildaten finde ich ja bereits lobenswert. Ich denke jedoch, dass man eine Unterscheidung zwischen “sicherem Login/Authentifizierung” und “sicheren Datenübertragung” festhalten muss. Schliesslich stellt sich die Frage, was ist schützenswert!?

Gibt es eine offizielles Statement von Apple dazu bzw. wie das technisch gelost wurde? Technote?