Zum Thema SSL muss ich aber denn jetzt doch noch was niederschreiben. Man könnte beim Hören irgendwie fast den Anschein bekommen, das SSL ja eh nicht wirklich so sicher sei und man im Grunde darauf verzichten kann (ausgenommen ein Shop will heißen, wenn das Klientel es vorschreibt).
Ähm, in kurz: Nein.
Ich weiß nicht, wieso euer Gespräch überhaupt in diese Richtung verlaufen *g* ist, aber mittlerweile ist es sogar besser, wenn man seinen gesamten Service mit HTTPS kapselt (die sozialen Netzwerke machen das, Google selber mehr und mehr, GitHub auch). Der Grund ist u.a., dass man ohne SSL ganz einfach die Session (über das Session Cookie) kommt. Das war der technische Hintergrund, dass überhaupt Firesheep funktionieren konnte. Es wäre fatal, auf SSL zu verzichten, weil es überhaupt nichts bringen würde. Die Tragweite, den Netzverkehr unverschlüsselt zu übertragen, muss einem schließlich in jeder Position der Anwendung klar sein. Selbst bei einer simplen Aufgabenverwaltung kann ein Datenleck oder Account-Hijacking nicht erwünscht sein (wahrscheinlich eher die Standardvorgabe).
Tatsächlich kann man sogar soweit gehen, und alle statischen aber Code ausführenden Artefakte Ressourcen mit SSL sichern, damit erhöht man den Integritätsfaktor der eigenen Webanwendung (Server wird mehr und mehr integer, aber Browser ist natürlich weiterhin kompromitierbar).
Dass natürlich eine PKI wie bei den SSL-Zertifikaten nicht 100% sicher sein kann, ist ein anderes Thema. Aber die beiden Alternativen sind nicht besser: das Web Of Trust (WOT) wie bei PGP ist nur bedingt brauchbar und gar nichts zu tun ist einfach inakzeptabel.
Ich finde Euren Podcast weiterhin spitze, aber das musste jetzt mal beigesteuert werden. :)