Lieber Martin,
Zur Klarstellung:
aus meinen Erfahrungen mit Webprojekten für Lotus Notes, Tomcat, Websphere (Portal), JBoss (Portal), Weblogic und Internet Information Server für verschiedene Konzerne, mittelständische Unternehmen und staatliche Organisationen, an denen ich beteiligt war, benötigten vielleicht 15 bis 20% SSL.
Die meisten davon waren keine Internet sondern Intranet-Anwendungen.
Dann wurden die ausgetauschten Daten in aller Regel nicht so brisant, dass eine Sicherung des Datentransports und eine Zertifikat-gestützte Autentifizierung des Servers opportun erschien. Rollenbasierte Authentifizierung benötigten fast alle Anwendungen.
Für die Anwendungsentwicklung ist SSL ohnehin weitestgehend transparent, dass heisst es beeinflußt die Entwicklung nur an sehr wenigen Stellen.
SSL hat aber auch Kosten, d.h. es nimmt Serverressourcen in Anspruch.
Ich wollte lediglich darauf hinweisen, dass Sicherheitsfeatures erst nach einer ernsthaften Analyse des Bedarfs dieser Features für die Anwendungsszenarien und der in diesen ausgetauschten Daten eingesetzt werden sollten.
Die Sicherheitslücken, auf die ich in den letzten 10 Jahren meine Kunden mitgeteilt habe, hab ich in Unternehmen mit sehr dokument-reichen IT-Sicherheitspolitiken und solchen ohne diese entdeckt. Damit habe ich mich nicht gegen schriftlich niedergelegte IT-Sicherheitspolitiken an sich ausgesprochen.
Hätte ich eine noch empfindsamere Seele, würde ich mich Dir gegenüber langsam aber sicher wie Herr K. im Schloß fühlen.
Saupreiß, dammischer.
Gruß Axel
