OpenStreetMap Forum

The Free Wiki World Map

You are not logged in.

#1 2014-02-12 00:53:03

whb
Member
Registered: 2013-01-18
Posts: 395

OpenStreetMap.org jetzt verschlüsselt

Hallo,

gerade eben habe ich bemerkt, dass es möglich ist, verschlüsselt auf OpenStreetMap.org zu surfen und tatsächlich wurde vor wenigen Stunden TLS aktiviert:
http://blog.openstreetmap.org/2014/02/1 … r-privacy/

Find ich gut. smile

JOSM konnte ich noch nicht zu einer verschlüsselten Verbindung überreden.
https://api.openstreetmap.org/api/capabilities funktioniert aber zumindest im Browser schon.

Viele Grüße,
whb

Last edited by whb (2014-02-12 00:57:43)

Offline

#2 2014-02-12 01:29:20

aseerel4c26
Member
From: Germany
Registered: 2013-12-01
Posts: 137
Website

Re: OpenStreetMap.org jetzt verschlüsselt

Wow, +1!  Danke auch für die Nachricht hier!  Warten wir mal noch auf die API.

Offline

#3 2014-02-12 01:39:04

rayquaza
Member
From: DE-BW
Registered: 2012-11-18
Posts: 2,007

Re: OpenStreetMap.org jetzt verschlüsselt

API funktioniert auch: Ich habe hier eine Web-Anwendung, die sich die Notes holt, bei der der Teil nun auch bei einem Aufruf über HTTPS funktioniert smile
Nur JOSM hat wohl noch Probleme. Vielleicht mal da einen Bug melden?

/e: Normale OSM-Objekte abrufen geht auch, OAuth scheint auch zu funktionieren

Last edited by rayquaza (2014-02-12 02:08:36)

Offline

#4 2014-02-12 07:01:47

amm
Member
Registered: 2009-09-20
Posts: 618
Website

Re: OpenStreetMap.org jetzt verschlüsselt

JOSM hatte ein bug im URL parsing. Ist aber bereits gefixed worden und nun funktioniert auch JOSM mit https.

Fuer iD ist https noch deaktiviert, da es noch resource von anderen Servern laedt die kein https koennen wie taginfo. Allerdings soll auch das demnaechst umgesetzt werden. Genauso wie das Forum auch in vorbereitung ist auf SSL umgestellt zu werden.

Offline

#5 2014-02-12 10:22:50

whb
Member
Registered: 2013-01-18
Posts: 395

Re: OpenStreetMap.org jetzt verschlüsselt

amm wrote:

JOSM hatte ein bug im URL parsing. Ist aber bereits gefixed worden und nun funktioniert auch JOSM mit https.

Das ging aber schnell. smile

Das Notes-Plugin scheint noch den gleichen Fehler zu haben:

GET https:/api.openstreetmap.org/api/0.6/notes

OAuth geht übrigens nicht über https:

INFO: POST https://api.openstreetmap.org/api/0.6/c … t/*/upload...
INFO: Authorization Required
Fehler: Error body: Couldn't authenticate you

Fehler: org.openstreetmap.josm.io.OsmApiException: ResponseCode=401, Error Body=<Couldnt authenticate you>
org.openstreetmap.josm.io.OsmApiException: ResponseCode=401, Error Body=<Couldnt authenticate you>

Viele Grüße,
whb

Last edited by whb (2014-02-12 10:40:38)

Offline

#6 2014-02-12 15:25:20

aseerel4c26
Member
From: Germany
Registered: 2013-12-01
Posts: 137
Website

Re: OpenStreetMap.org jetzt verschlüsselt

Was leider nur umständlich geht, ist Remote-Control mit Firefox. "Laden von gemischten aktiven Inhalten "http://127.0.0.1:8111 ... wurde blockiert". Das Whitelisting in Firefox ist leider auch immer nur für den aktuellen Seitenaufruf (bug 873349). Und einen Aufruf https://127.0.0.1:8111 mag JOSM anscheinend nicht (nicht verwunderlich). Das Problem liegt aber, meines Erachtens bei Firefox und unzureichenden Whitelisting-Möglichkeiten.

Last edited by aseerel4c26 (2014-02-12 15:29:49)

Offline

#7 2014-02-12 15:45:40

pointhi
Member
Registered: 2012-10-08
Posts: 70
Website

Re: OpenStreetMap.org jetzt verschlüsselt

das forum funktioniert leider nicht mit https, vermutlich da der server nicht von osm gehostet ist. Es gibt ein selbstsigniertes Zertifikat, welches aber nur auf die standard-apache-seite weiterleitet. Vermutlich kommt wegen dem "bald" ein eigener forum-server (ist schon im osm wiki vorhanden: http://wiki.openstreetmap.org/wiki/Servers/clifford)

Ich hab bei Vespucci schon ein Issue gemacht damit sie https unterstützen, wie es scheint sieht der entwickler die sache aber nicht wirklich wichtig.

Vespucci has supported OAuth for a significant amount of time. There is no need to transmit passwords in the clear. Once the https API has stabilized, we will probably support it.

Bei der eingabemaske für passwörter steht sogar extra: Beachten Sie: Das Passwort wird unverschlüsselt gespeichert und übertragen!

Ich würde mal sagen dass man issues bei den verschiedenen osm-programmen aufmacht, die ein login unterstützen (falls https noch nicht unterstützt wird). Es ist jetzt nicht so, dass diese wichtige sicherheitsverbesserung von alleine an die ganzen programmierer durchdringt.

mfg, pointhi

Offline

#8 2014-02-12 16:04:50

aseerel4c26
Member
From: Germany
Registered: 2013-12-01
Posts: 137
Website

Re: OpenStreetMap.org jetzt verschlüsselt

pointhi wrote:

das forum funktioniert leider nicht mit https, vermutlich …

Siehe dazu den anderen Thread: Feedback » HTTPS full support.

Offline

#9 2014-02-12 16:21:32

SimonPoole
Member
Registered: 2010-03-14
Posts: 1,738

Re: OpenStreetMap.org jetzt verschlüsselt

pointhi wrote:

Vespucci has supported OAuth for a significant amount of time. There is no need to transmit passwords in the clear. Once the https API has stabilized, we will probably support it.

Bei der eingabemaske für passwörter steht sogar extra: Beachten Sie: Das Passwort wird unverschlüsselt gespeichert und übertragen!

Ich würde mal sagen dass man issues bei den verschiedenen osm-programmen aufmacht, die ein login unterstützen (falls https noch nicht unterstützt wird). Es ist jetzt nicht so, dass diese wichtige sicherheitsverbesserung von alleine an die ganzen programmierer durchdringt.
.........

Bei OAuth werden weder Login, noch Passwort unverschlüsselt übertragen, und dies ist auch seit längerem die Defaulteinstellung für neue Vespucci Installationen. M.a.W. du regst dich über ein Nicht-Problem auf.

Offline

#10 2014-02-12 16:46:09

pointhi
Member
Registered: 2012-10-08
Posts: 70
Website

Re: OpenStreetMap.org jetzt verschlüsselt

Bei OAuth werden weder Login, noch Passwort unverschlüsselt übertragen, und dies ist auch seit längerem die Defaulteinstellung für neue Vespucci Installationen. M.a.W. du regst dich über ein Nicht-Problem auf.

Stimmt nicht, ich hab das aktuelle vespucci 9.4, und in den OAuth berechtigungen auf meiner OSM-Seite steht nichts von Vespucci. Mein Handy ist aber erst 2 Monate alt, und so sind die Apps auch erst vor kurzem installiert worden! Unter Server einstellungen ist im Standard-url kein https, und der haken bei "OAuth erlauben" ist nicht gesetzt! Ich hab das jetzt bei mir lokal geändert, beides sollte aber standardmäßig verwendet werden. Eigentlich sollte wie bei "OSMap Tuner" nur mehr OAuth, kein username/passwort bei programmen zur bearbeitung von OSM-Daten verwendet werden.

mfg, pointhi

Offline

#11 2014-02-12 17:07:26

SimonPoole
Member
Registered: 2010-03-14
Posts: 1,738

Re: OpenStreetMap.org jetzt verschlüsselt

pointhi wrote:

Bei OAuth werden weder Login, noch Passwort unverschlüsselt übertragen, und dies ist auch seit längerem die Defaulteinstellung für neue Vespucci Installationen. M.a.W. du regst dich über ein Nicht-Problem auf.

Stimmt nicht ...

Doch, ausser du hast zuerst eine uralt Version installiert (aus Gründen der Rückwärtskompatibiltät übernimmt Vespucci Settings die schon vorhanden sind) oder sonst was gemacht, dass du uns nicht sagst. Siehe auch http://code.google.com/p/osmeditor4andr … abase.java Zeile 86.

Offline

#12 2014-02-12 17:40:27

pointhi
Member
Registered: 2012-10-08
Posts: 70
Website

Re: OpenStreetMap.org jetzt verschlüsselt

stimmt, ich nutze f-droid als app-store für OSS, welcher zu dem zeitpunkt mit der version noch zurückhinkte. Ein Info-Feld wo darauf aufmerksam gemacht wird dass man unsicher arbeitet hab ich aber nie zu gesicht bekommen (erinnere mich jedenfalls nicht daran, und wenn dann hätte ich es gleich aktiviert), und so werden wohl der großteil der user die vespucci vor August 2013 installiert haben (oder bei f-droid vor 24.01.2014) noch immer mit der alten methode authentifizieren, was einfach mal ins blaue geraten >80% der nutzer sein werden.

mfg, pointhi

Offline

#13 2014-02-12 18:51:00

amm
Member
Registered: 2009-09-20
Posts: 618
Website

Re: OpenStreetMap.org jetzt verschlüsselt

pointhi wrote:

[...]so werden wohl der großteil der user die vespucci [...]  noch immer mit der alten methode authentifizieren, was einfach mal ins blaue geraten >80% der nutzer sein werden.

Ich schaetze mal bei JOSM sieht es aehnlich aus. Dort ist die einfache Authentifizierung per cleartext username und password nach wie vor der default. Also nur wer was von OAuth weis und es aktiv einstellt kommt in den Genuss der erhoehten Sicherheit. Insofern wuerde ich auch bei JOSM vermuten das ein Grossteil der User bislang ein sehr unischere Methode verwendet haben. Insofern duerfte fuer JOSM die Einfuehrung von https fuer die API am meisten an Zugewinn bringen.

Offline

#14 2014-02-12 22:07:50

free_as_a_bird
Member
Registered: 2010-01-26
Posts: 171

Re: OpenStreetMap.org jetzt verschlüsselt

whb wrote:

gerade eben habe ich bemerkt, dass es möglich ist, verschlüsselt auf OpenStreetMap.org zu surfen und tatsächlich wurde vor wenigen Stunden TLS aktiviert:
http://blog.openstreetmap.org/2014/02/1 … r-privacy/

Solange diese elende Piwiki-Spyware auf openstreetmap.org eingebunden ist, dürfte sich der praktische Nutzen wohl in Grenzen handeln.
Piwiki ist per http eingebunden und dürfte damit wohl unverschlüsselt mitloggen, was Du Dir auf der Karte anschaust..

Offline

#15 2014-02-12 22:19:23

aseerel4c26
Member
From: Germany
Registered: 2013-12-01
Posts: 137
Website

Re: OpenStreetMap.org jetzt verschlüsselt

free_as_a_bird wrote:

Solange diese elende Piwiki-Spyware auf openstreetmap.org eingebunden ist, dürfte sich der praktische Nutzen wohl in Grenzen handeln.
Piwiki ist per http eingebunden und dürfte damit wohl unverschlüsselt mitloggen, was Du Dir auf der Karte anschaust..

Also für mich wird sie per https eingebunden: https://piwik.openstreetmap.org/piwik.js  Immerhin ist das eine Analysesoftware, die bei openstreetmap läuft. Wäre google analytics eingebunden, wäre das eine ganz andere Sache (so wie beispielsweise bei den US-zentrierten iD-Entwicklern, die die aktuellste iD-Editor-Entwicklungsversion (hXXp://openstreetmap.us/iD/master/) bereitstellen).

Offline

#16 2014-02-12 22:56:33

free_as_a_bird
Member
Registered: 2010-01-26
Posts: 171

Re: OpenStreetMap.org jetzt verschlüsselt

aseerel4c26 wrote:

Also für mich wird sie per https eingebunden: https://piwik.openstreetmap.org/piwik.js

Hast ja recht.. Hatte mich verguckt, es ist https.

Am Sachverhalt änderts leider nur wenig: https verschlüsselt die Inhalte, alle Vögelchen auf der Leitung sehen aber weiterhin welche Urls Du aufrufst.
Anhand des OSM-Url-Formats, wie bspw. https://www.openstreetmap.org/#map=11/52.4194/13.2533,  lässt sich dann ohne weiteres nachvollziehen, was Du gerade anschaust..
Die Metadaten lassen grüssen..

Von daher bleibe ich dabei, https bietet in diesem Zusammenhang hauptsächlich Pseudo-Sicherheit..

Offline

#17 2014-02-12 23:01:47

pointhi
Member
Registered: 2012-10-08
Posts: 70
Website

Re: OpenStreetMap.org jetzt verschlüsselt

Die tiles mit https zu verschlüsseln ist für mich auch nicht ganz nachvollziehbar, bei der hauptseite dagegen werden bei jedem request unter anderem auch session-cookies übertragen, welche verschlüsselt sicher besser aufgehoben sind. Ein Verschlüsseln der genauen aufrufe von den einzelnen tiles wäre technisch sicher möglich, ob sinnvoll ist aber eine andere sache.

mfg, pointhi

Offline

#18 2014-02-12 23:02:54

maxbe
Member
Registered: 2010-01-19
Posts: 3,024
Website

Re: OpenStreetMap.org jetzt verschlüsselt

free_as_a_bird wrote:

alle Vögelchen auf der Leitung sehen aber weiterhin welche Urls Du aufrufst.

Sie sehen welchen Server ich kontaktiere, nict die ganze URL.

free_as_a_bird wrote:

Anhand des OSM-Url-Formats, wie bspw. https://www.openstreetmap.org/#map=11/52.4194/13.2533,  lässt sich dann ohne weiteres nachvollziehen, was Du gerade anschaust..

Was hinter dem "#" kommt, sähe man nicht mal wenn es unverschlüsselt wäre, das geht einfach nicht über die Leitung. Bei URLs der Form "lat=x&lon=y" sähe man es unverschlüsselt, mit https aber nicht.

Grüße, Max

Offline

#19 2014-02-12 23:37:47

rayquaza
Member
From: DE-BW
Registered: 2012-11-18
Posts: 2,007

Re: OpenStreetMap.org jetzt verschlüsselt

pointhi wrote:

Die tiles mit https zu verschlüsseln ist für mich auch nicht ganz nachvollziehbar

Darüber liesse sich sonst ermitteln, ob du gerade z.B. die Umgebung eines Terroristen-Lagers betrachtest.

pointhi wrote:

Ein Verschlüsseln der genauen aufrufe von den einzelnen tiles wäre technisch sicher möglich, ob sinnvoll ist aber eine andere sache.

tile.openstreetmap.org unterstützt schon seit mehreren Tagen SSL wink

Offline

#20 2014-02-12 23:44:21

derstefan
Member
From: OpenTopoMap
Registered: 2010-03-28
Posts: 478
Website

Re: OpenStreetMap.org jetzt verschlüsselt

maxbe wrote:

Sie sehen welchen Server ich kontaktiere, nict die ganze URL.

Richtig. Und das Erraten von Inhalten aufgrund der Größe sollte bei Kacheln sehr schwer sein, da alle etwa gleich groß sind. Und auch wenn man nur den weltweiten verschlüsselten Traffic erhöht oder die Nutzer ein Quäntchen für das Thema Verschlüsselung sensibilisiert, ist schon was gewonnen.

Weiter so!

Offline

#21 2014-02-13 00:33:57

amm
Member
Registered: 2009-09-20
Posts: 618
Website

Re: OpenStreetMap.org jetzt verschlüsselt

pointhi wrote:

Die tiles mit https zu verschlüsseln ist für mich auch nicht ganz nachvollziehbar, bei der hauptseite dagegen werden bei jedem request unter anderem auch session-cookies übertragen, welche verschlüsselt sicher besser aufgehoben sind. Ein Verschlüsseln der genauen aufrufe von den einzelnen tiles wäre technisch sicher möglich, ob sinnvoll ist aber eine andere sache.

Ob einen das stoert oder nicht sei mal dahin gestellt. Aber in diversen NSA powerpoint Praesentationen wurde explicit darauf hingewiesen das google maps ein wichtige Datenquelle ist. Insofern glaubt zumindestens die NSA das in den maps Aufrufen wertvolle persoenliche Information enthalten sind.


Dennoch weit wichtiger duerfte sein endlich die Uebertragung von passwoertern im Klartext im Forum und per JOSM zu unterbinden. Denn so kann jeder klein Kriminelle im lokalen WLAN (z.B. im oeffentlichen hotspot) ohne Probleme das Passwort mitlesen. Und da nun mal viele (auch gegen die Empfehlungen) ihre Zugangsdaten wiederverwenden, kann dadurch schon ein echter Verlust entstehen und ist einfach nicht mehr Zeitgemaess.

Offline

#22 2014-02-13 08:17:19

SammysHP
Member
From: Celle, Germany
Registered: 2012-02-27
Posts: 1,530
Website

Re: OpenStreetMap.org jetzt verschlüsselt

Bei SPDY würde doch auch jeder Subrequest verschlüsselt sein. Ein Angreifer sieht also nur, dass einmalig eine Verbindung zu OSM aufgebaut wurde. Einziges Problem ist die Verteilung auf unterschiedliche Domains und Server.

Offline

#23 2014-02-13 08:59:16

maxbe
Member
Registered: 2010-01-19
Posts: 3,024
Website

Re: OpenStreetMap.org jetzt verschlüsselt

derstefan wrote:

Und das Erraten von Inhalten aufgrund der Größe sollte bei Kacheln sehr schwer sein, da alle etwa gleich groß sind.

Wäre interessant zu untersuchen, ungeprüft würde ich das jedenfalls nicht behaupten. Vielleicht ist die Kombination "22221, 15448, 9496, 22493, 19901, 26685, 29469, 30141, 51895, 41911, 18669, 17437, 24589, 29549, 45767, 51255, 59079, 40114" (ein Bildschirm voll verschlüsselter München-Kacheln in Zoom 15, Reihenfolge beliebig) tatsächlich recht selten. Der Aufwand, das zu ermitteln und immer aktuell zu halten wäre hoch, aber "sauteuer" oder "irrsinnig aufwändig" ist ja kein Kriterium, hab ich in den letzten Monaten gelernt.

Grüße, Max

Offline

#24 2014-02-13 09:41:13

wambacher
Member
From: Schlangenbad/Wambach, Germany
Registered: 2009-12-16
Posts: 15,987
Website

Re: OpenStreetMap.org jetzt verschlüsselt

maxbe wrote:

Der Aufwand, das zu ermitteln und immer aktuell zu halten wäre hoch, aber "sauteuer" oder "irrsinnig aufwändig" ist ja kein Kriterium, hab ich in den letzten Monaten gelernt.

was derstefan in seinem Post wohl sagen wollte:

Jede verschlüsselte Seite - und sei die auch völlig harmlos - erhöht bei den "Interessenten" den Aufwand, überhaupt was rauszubekommen. Sie müssen dazu auch jeden "Quatsch" entschlüsseln um das DANACH verwerfen zu können. Wobei ich OSM natürlich nicht als Quatsch einstufen möchte wink

Meine Worte: Jede HTTPS-Verbindung macht deren "Arbeit" schwerer.

Daher warte ich auf HTTPS auch bei dem Foren-Server.

Gruss
walter

Offline

#25 2014-02-13 10:42:40

Nadjita
Member
From: Erding
Registered: 2013-07-12
Posts: 474

Re: OpenStreetMap.org jetzt verschlüsselt

Der einzige Grund, der gegen HTTPS spricht, ist, dass es rechenaufwändiger ist. Bei halbwegs modernen Prozessoren wird allerdings der Löwenanteil davon in Hardware gemacht, so dass man es in der Regel nicht merkt (und da spreche ich durchaus aus Erfahrung). Ich denke, in den meisten Fällen ist es einfach Träg- und Faulheit, die die Einführung behindert, oder eben die Kosten für ein gutes Zertifikat. Ich verstehe nicht, warum sich immer noch so viele Anbieter vor Verschlüsselung ziemen hmm

Gruß

- Nadjita

Offline

Board footer

Powered by FluxBB