Wunderkit: Darfs ein bisschen unsicher sein?

Ich nutze oder sagen wir mal, nutzte eine gewisse Zeit lang Wunderlist. Sowohl auf dem Apple iPhone, auf dem Mac, Windows-Rechner usw. mal davon abgesehen, dass die App unter einer Windows-Maschine nicht laufen wollte war die App doch ganz gut. Im Laufe der Zeit wurde sie für mich oder besser „uns“ zunehmend unspannender und wir nutzen andere Lösungen. Doch die „6Wunderkinder“ hat man nun einmal schon im Auge gehabt, vor allem was ihr eigentliches Projekt, Wunderkit, angeht.

Vor Kurzem gab es dann zum Beispiel auf der t3n-Website eine Vorstellung der Wunderkit-Beta. Sah ehrlich gesagt ziemlich unspannend aus. Optisch natürlich nach wie vor sehr, sehr toll, doch was die eigentliche Software anging reizte mich das Projekt jetzt nicht sonderlich. Nach einem Mittagsgespräch gestern in der Kostbar dachte ich mir, dass die App nun endlich mal auf den iMac sollte, wenigstens um sie sich mal etwas genauer anzusehen. Nachdem ich nun noch über die Änderungen des künftigen Preismodells las, wagte ich den Download und die „Installation“.

Mein erster Gedanke: Warum zur Hölle will die App beim Start über den Port 80 Daten abrufen? Dieser Gedanke hat weniger damit zu tun, dass die App Informationen aus dem Internet laden muss, sondern wieso in aller Welt über den Port 80 und nicht sicher über 443, vor allem, wenn’s sowieso alles aus der Amazon-Cloud kommt. Nunja, einfach zulassen und gucken was sich öffnet. Der Login-Screen. Okay, dachte ich, den Login kann ich natürlich nun noch nicht checken, nehme ich doch die Registration. Wird auch alles via Port 80 geladen, Okay. Die „Seite“ wird via Google Analytics getrackt und die Felder zudem auch via Reinvigorate, Okay. Doch, dass auch das Formular via Port 80 übertragen wird geht einfach gar nicht. Auch wenn ich schon immer kribbelnde Hände bekomme, wenn ich nicht weiß wie mein Passwort in der Datenbank gespeichert wird, ist mein Gefühl bei derartigen Lücken nicht gerade angenehm. Der nächste Login nach App-Neustart erfolgte automatisch, jedoch leider ebenfalls unsicher.

Doch die 6Wunderkinder können es innerhalb der App doch auch, wieso nicht auch bei der Registration? Egal ob es eine Beta ist oder nicht, so etwas disqualifiziert die App vorerst für mich, Optik und Funktionen hin oder her.

Leider sieht’s auch mit der Webversion nicht besser aus. Folge ich dem Login-Link aus der Begrüßungs-Mail, lande ich auf der Login-Seite der Browser-Version von Wunderkit. Leider ebenfalls ohne sichere Verbindung, weder die Login-Seite, noch die darauf folgende Applikationsoberfläche.

Ein kleiner Bug am Rande, wenn man sein Passwort ändern möchte. Das Fenster in Standardgröße ist leider etwas zu klein, sodass das Modal im Innern noch kleiner ist und man nicht alle Felder sehen kann. Skaliert man das äußere Fenster größer, passt’s auch im Inneren.

  • Klingt auf jeden Fall mega interessant, würd ich mir gerne ansehen – bin nur bisher bei meinem Windows PC hängen geblieben und hab daher wohl keine Chance =)

    Aber für 3,99€ im Monat kann man da echt nicht meckern.

    Zumindest das Video überzeugt mich.

    Grüße und Viel Erfolg!
    Jörg

    • Im Browser könntest du beispielsweise: wunderkit.com

  • Isaac Wolkerstorfer

    Ab sofort ist http://www.wunderkit.com nur per SSL zu erreichen. Nutzer, die bereits eingeloggt sind, werden sich neu einloggen müssen. Aber auf jeden Fall wert, um nicht die Schlimmste Security der Welt zu haben ;-)

    Danke für’s Feedback!

    • Hallo Isaac, das klingt doch schon einmal gut und ging echt fix. :)

      • Isaac Wolkerstorfer

        Leider ist die App dadurch etwas träger als sonst geworden, wir werden höchstwahrscheinlich neue Load Balancer brauchen. Aber wie gesagt – es lohnt sich! Wir hatten eigentlich von Anfang an vor, 100% SSL zu sein (wie in http://get.wunderkit.com/features/#sync beschrieben), hatten aber ein kleines technisches Problem mit dem Umsetzen. Gutes Timing, dass wir es endlich umstellen konnten :-)

        Danke nochmals fürs Beta-Testen! Nur so finden wir die (offensichtlich noch viele) Schwachstellen.

        • Wobei die Geschwindigkeit nun durch das No-Cache immer etwas leidet, aber ein wenig lässt sich ja sicher noch via besser verteitem CDN für die GUI & Dazugehöriges rausholen (als Beispiel). Sind nur Kleinigkeiten, aber summiert sich bekanntlich auch.
          Auf ’n ersten Blick, wenn die Profilbilder nicht vom FB-Graphen oder Twitter geladen werden (klar, Traffic, aber vom Empfinden könnte über AWS cachen ja schon fixer ausliefern), kommen sie aus nur einer Quelle (wunderkit-files.s3.amazonaws.com). Framework hin oder her, Requests bleiben es an einer Stelle ja dennoch. ;)

        • Wo wir aber gerade dabei sind habe ich mal noch zwei Sachen…

          Die gesamte Plattform läuft allerdings noch nicht unter dem Zertifikat, da noch ein paar Inhalte über unsichere Verbindungen abgerufen werden. Unwichtig für’n Login, jedoch für das schnieke „Siegel“ in der Adresszeile. Siehe Beispielscreen: http://filestorage.mainflow.de/01/1329503139.png

          Und Punkt zwei: bei den Tasks heiße ich erst „you“, eine weitere Ebene tiefer jedoch nur noch Andreas. http://filestorage.mainflow.de/01/1329569521.png
          Vielleicht verstehe ich das nur nicht, aber wieso habe ich links den Inbox-Counter auf 2, jedoch nur eine Task – ohne in den anderen virtuellen Listen auch noch eine zu haben. Die Anzahl der Tasks plus Kommentare kann’s ja auch nicht sein. ;) http://filestorage.mainflow.de/01/1329491756.png

  • pascal

    hallo andi, blöde frage: wie machst du das, dass es dir bei der installation etc. anzeigt welchen port das programm nutzt? gibts da eine einstellung oder ein programm? danke & grüsse, pascal

    • Das ist eine Meldung von Little Snitch, eine App von Objective Development für Apple OSX.

  • Schade, leider sind noch immer nicht alle Inhalte auf wunderkit.com durch ein Zertifikat gesichert (externe Inhalte innerhalb der Plattform) > http://filestorage.mainflow.de/01/1330218743.png

  • Christian

    So allgemein:
    Wer sagt den, dass Port 80 „böse“ sei? Der Port besagt ja nur, über welche „Tür“ Informationen versendet werden. Welche Informationen das sind, ist dem Port egal. Wenn also die Informationen bereits vom Programm verschlüsselt worden sind, ist es ja sicher.

    Zudem kann man auch unverschlüsselte Informationen über den Port 443 senden. Das ist letztlich dem Port egal, was über ihn gesendet werden…. Viel mehr sollte man da mal mit nem Sniffer schauen, was übermittelt wird.

    • Es ist ja gut und schön, falls Daten auf welche Art auch immer „vorab verschlüsselt“ werden, den Browser interessiert das für die Kennzeichnung für den Besucher jedoch herzlich wenig. Wir dürften uns einig darüber sein, dass es irrelevant ist über welchen Port ausgeliefert wird, solange sicher ausgeliefert wird – für den Benutzer zählt jedoch was er sehen kann und nicht welche Technik dabei dahinter steckt. Da geht’s nun einmal mit den üblichen Zertifikaten über 80/443.