Halihallo Tom

Für wie verbreitet hältst Du denn diese Man-in-the-middle Attacken?

Ich persönlich? - Für eine "normale Website"? - Sehr gering, würde
ich behaupten. Aber dies hat absolut keinen Einfluss auf die
Umsetzung der Sicherheitaspekte, denn da geht es schlicht darum,
alles nur erdenkliche auszuschliessen, egal wie unwahrscheinlich
es ist. Obscurity is not security, als (zugegebenermassen etwas
unpassendes => als Analogie zu verstehen) Stichwort. Oder besser:
Die Sicherheit einer Applikation ist definiert durch die unsicherste
Umsetzung innerhalb.

Ich für meinen Teil muss jedoch eingestehen, dass ich mit einer
nicht SSL-Variante durchaus auch glücklich bin und somit man-in-the-
middle Attacken damit theoretisch ermögliche.

Ist es bei den "normalen" Webseiten nicht wahrscheinlicher, dass jemand Formulare manipuliert, Passwörter errät oder sonstige Zugangslücken als Client sucht?

Hier bin ich absolut deiner Meinung! - Derartiges *muss* man mit
aller Kraft versuchen zu verhindern, denn genau dies ist der
Ansatzpunkt Nr. 1 für sowohl Cracker, wie auch für Script-Kiddies. Da
die Zielgruppe für derartige Schwächen sehr gross ist, sind sie nach
bestem Wissen und Gewissen zu unterbinden. Dies hat für mich
persönlich absolut Priorität.

Ich gehe sogar soweit und sage: SSL ist mehr als Kundenbefriedigung
zu sehen[1] und in vielen Fällen vielleicht gar nicht nötig (nice to
have), denn eines ist hoffentlich jedem klar: SSL ist nur so sicher,
wie das Programm, dessen Output verschlüsselt wird. Die Güte der
Sicherheit folgt dem Prinzip des schwächsten Gliedes in einer Kette.
Ist das Programm schlecht, wird die Kette genau da brechen, egal ob
SSL verwendet wird oder nicht... Es ist klar, dass keine
Kreditkartennummern o.ä. ohne SSL übertragen werden sollen, aber
am Ende ist doch auch immer noch die Sicherheit der Applikation
entscheidend.

[1] Der Kunde (egal ob Besucher oder Auftraggeber für Applikation)
    impliziert mit diesem Schlüsselsymbol rechts unten im
    Browserfenster einfach Sicherheit, obwohl dies ein grober
    Trugschluss ist. Sicherheit entsteht auf der Applikations- und
    Systemebene und schliesst einfach mit einer sicheren Verbindung
    ab. Aber eben: Was ist wohl das schwächste Element in der Kette?
    Ich wollte mit dieser provokanten Aussage nicht implizieren,
    dass SSL gar nicht benutzt werden soll, da es "sowieso nichts
    bringt". Keinesfalls! - Ich will damit Leute sensibilisieren,
    die eine sichere Verbindung für das A und O halten... Hauptsache
    goldiger Schlüssel ist sichtbar, was?... pah!

Fazit: SSL benutzen! - Aber dies bei der Programmierung getrost
vergessen, um sich nicht in den starken Händen von SSL geborgen zu
fühlen und die harte Realität zu vergessen.

Viele Grüsse

Philipp