You are not logged in.

#26 2014-02-13 10:56:20

wambacher
Member
From: Schlangenbad/Wambach, Germany
Registered: 2009-12-16
Posts: 16,678
Website

Re: OpenStreetMap.org jetzt verschlüsselt

Nadjita wrote:

Ich denke, in den meisten Fällen ist es einfach Träg- und Faulheit, die die Einführung behindert, oder eben die Kosten für ein gutes Zertifikat.

Ich betreibe ja auch meine eigenen Seiten und diese auf eigener Hardware. Technisch kein Problem auf HTTPS umzusteigen (ok, ein wenig Erfahrung fehlt da noch bei mir). Nur hab ich noch keine Zeit gefunden, ein günstiges aber gleichwohl von allen Browsern akzeptiertes Zertifikat zu bekommen.

Mal sehen, das Jahr ist noch lang (und die NSA ist immer -noch- dabei)

Gruss
walter

Offline

#27 2014-02-13 11:04:10

Nadjita
Member
From: Erding
Registered: 2013-07-12
Posts: 474

Re: OpenStreetMap.org jetzt verschlüsselt

Ich zahle für meine Zertifikate 1,99€ pro Monat. Das finde ich gerade noch so erträglich. Ob das günstig ist, kann ich nicht sagen.

Offline

#28 2014-02-13 11:09:41

Tordanik
Moderator
From: Germany
Registered: 2008-06-17
Posts: 2,712
Website

Re: OpenStreetMap.org jetzt verschlüsselt

Nadjita wrote:

Ich zahle für meine Zertifikate 1,99€ pro Monat.

Wo? Edit: Also bei bei welchem Anbieter? Und wird das auch in allen Browsern unterstützt?

Last edited by Tordanik (2014-02-13 11:14:44)


OSM in 3D: OSM2World

Offline

#29 2014-02-13 11:10:55

wambacher
Member
From: Schlangenbad/Wambach, Germany
Registered: 2009-12-16
Posts: 16,678
Website

Re: OpenStreetMap.org jetzt verschlüsselt

Nadjita wrote:

Ich zahle für meine Zertifikate 1,99€ pro Monat. Das finde ich gerade noch so erträglich. Ob das günstig ist, kann ich nicht sagen.

glaub schon. ich zahle 1€/Monat für Domain, 5€/Monat für IP4->IP6-Tunnel und 1€/Tag für Strom, da fallen die 2€ mehr wohl auch nicht ins Gewicht.

Wo?

Gruss
walter

Offline

#30 2014-02-13 11:18:15

Nadjita
Member
From: Erding
Registered: 2013-07-12
Posts: 474

Re: OpenStreetMap.org jetzt verschlüsselt

Ich weiß nicht, ob ich das posten darf, oder ob sich dann jemand beschwert, dass es Werbung ist. Zumal ich zufällig auch noch beim Anbieter arbeite neutral

Offline

#31 2014-02-13 11:21:23

derstefan
Member
From: OpenTopoMap
Registered: 2010-03-28
Posts: 504
Website

Re: OpenStreetMap.org jetzt verschlüsselt

wambacher wrote:

Nur hab ich noch keine Zeit gefunden, ein günstiges aber gleichwohl von allen Browsern akzeptiertes Zertifikat zu bekommen.

Mal sehen, das Jahr ist noch lang (und die NSA ist immer -noch- dabei)

Sehr richtig. Ein unterschriebenes Zertifikat kostet leider Geld. Auf unserem Server kommt deshalb vorerst ein selbstsigniertes Zertifikat zum Einsatz. (Diskussion)

Die NSA & Co. werden niemals damit aufhören, weil: es geht. Aber wir können es ihnen richtig schön teuer machen.


Noch ein anderer Punkt: Wie seht ihr das? Soll ein Server automatisch auf https umleiten? Oder nimmt man damit dem Nutzer die Entscheidungsfreiheit?
Ich plädiere eigentlich für eine Zwangsumleitung, sofern das Zertifikat gültig unterschrieben ist, da die Nutzer moderner Browser keinen Klick mehr benötigen und vom Verhalten keinerlei Unterschiede sehen.

edit: word order

Last edited by derstefan (2014-02-13 11:21:55)

Offline

#32 2014-02-13 11:22:41

wambacher
Member
From: Schlangenbad/Wambach, Germany
Registered: 2009-12-16
Posts: 16,678
Website

Re: OpenStreetMap.org jetzt verschlüsselt

Nadjita wrote:

Ich weiß nicht, ob ich das posten darf, oder ob sich dann jemand beschwert, dass es Werbung ist. Zumal ich zufällig auch noch beim Anbieter arbeite neutral

schon mal was von PN gelesen?

Offline

#33 2014-02-13 11:24:34

wambacher
Member
From: Schlangenbad/Wambach, Germany
Registered: 2009-12-16
Posts: 16,678
Website

Re: OpenStreetMap.org jetzt verschlüsselt

derstefan wrote:

Noch ein anderer Punkt: Wie seht ihr das? Soll ein Server automatisch auf https umleiten? Oder nimmt man damit dem Nutzer die Entscheidungsfreiheit?
Ich plädiere eigentlich für eine Zwangsumleitung, sofern das Zertifikat gültig unterschrieben ist, da die Nutzer moderner Browser keinen Klick mehr benötigen und vom Verhalten keinerlei Unterschiede sehen.

auf jeden Fall! Das wollte ich schon am Anfang dieser Diskussion vorschlagen; mir fehlte nur der Fachbegriff für dieses Verfahren.

Gruss
walter

Offline

#34 2014-02-13 11:27:12

Nadjita
Member
From: Erding
Registered: 2013-07-12
Posts: 474

Re: OpenStreetMap.org jetzt verschlüsselt

derstefan wrote:

Noch ein anderer Punkt: Wie seht ihr das? Soll ein Server automatisch auf https umleiten? Oder nimmt man damit dem Nutzer die Entscheidungsfreiheit?

Lis Dir mal das hier durch, davon halte ich mehr als von Zwangsumleitung. Also kurz gesagt: wer HTTPS anbietet, muss, finde ich, nicht HTTP anbieten.

Offline

#35 2014-02-13 11:30:40

Nadjita
Member
From: Erding
Registered: 2013-07-12
Posts: 474

Re: OpenStreetMap.org jetzt verschlüsselt

wambacher wrote:

schon mal was von PN gelesen?

Hast Du scheinbar deaktiviert, ich kann Dir keine schreiben.

Offline

#36 2014-02-13 11:34:48

rayquaza
Member
From: DE-BW
Registered: 2012-11-18
Posts: 2,007

Re: OpenStreetMap.org jetzt verschlüsselt

derstefan wrote:

Soll ein Server automatisch auf https umleiten?

Ich finde, dass man einfach generell Protokoll-relative URIs nutzen sollte, sofern der Zielserver SSL unterstützt und nur bei Seiten, bei denen es sehr empfehlenswert ist (Login z.B.) einen Redirect setzen. Den Rest sollte HSTS erledigen (Danke für die Erinnerung @Nadjita).

Zum Zertifikat: Wenn man es irgendwie überprüfen kann (iirc gibt's da irgendwas mit Signatur mithilfe eines PGP-Keys?) und man von der Zielgruppe erwartet, mit einer entsprechenden "Fehler"-Meldung umgehen zu können, (oder ausreichend Bedeutung hat um damit Druck auf CAs und Browser-Entwickler auszuüben) finde ich, dass eine Unterstützung der relativ zentralisierten CAs unnötig ist.

Nadjita wrote:
wambacher wrote:

schon mal was von PN gelesen?

Hast Du scheinbar deaktiviert, ich kann Dir keine schreiben.

Hier im Forum gibt's gar keine, und auf osm.org kann man sie nicht deaktivieren wink


/e: typo

Last edited by rayquaza (2014-02-13 11:35:31)

Offline

#37 2014-02-13 12:02:03

Nadjita
Member
From: Erding
Registered: 2013-07-12
Posts: 474

Re: OpenStreetMap.org jetzt verschlüsselt

rayquaza wrote:

Hier im Forum gibt's gar keine, und auf osm.org kann man sie nicht deaktivieren

Ja, aber man kann E-Mails über das Forum senden. Egal, ich nehme OSM, danke für die Idee, bin ich gar nicht drauf gekommen roll

Offline

#38 2014-02-13 12:13:51

wambacher
Member
From: Schlangenbad/Wambach, Germany
Registered: 2009-12-16
Posts: 16,678
Website

Re: OpenStreetMap.org jetzt verschlüsselt

Nadjita wrote:
wambacher wrote:

schon mal was von PN gelesen?

Hast Du scheinbar deaktiviert, ich kann Dir keine schreiben.

sorry, nicht über das forum sondern www.openstreetmap.org/user/wambacher

Offline

#39 2014-02-13 14:04:38

aseerel4c26
Member
From: Germany
Registered: 2013-12-01
Posts: 142
Website

Re: OpenStreetMap.org jetzt verschlüsselt

rayquaza wrote:

Zum Zertifikat: Wenn man es irgendwie überprüfen kann

Zum selbst-unterschriebenen Zertifikat: Selbst wenn man es nicht überprüft: gegen einen Angreifer, der NUR Lauschen kann und nicht manipulieren kann, schützt es schon komplett. Außerdem,  selbst im Falle des manipulierfähigen Angreifers: er weiß nicht sicher, ob du es geprüft hast. Folglich, wenn er nicht riskieren möchte aufzufliegen, muss er annehmen, dass du es geprüft hast. (Vorstehendes nimmt an, dass der Angreifer keine gefälschten, aber "gültigen" – aka Populär-CA – Zertifikate selbst ausstellen kann oder die Ausstellung bei einer CA erzwingen kann)

Ein selbstunterschriebenes kann in der bestimmten Situation von gefälschten, aber gültigen Zertifikaten gar gleich gut wie Populär-CA-Zertifikate sein: wenn man das Zertifikat ab der ersten Verbindung festnagelt (certificate pinning), so wie es bei SSH üblicherweise gemacht wird. An Populär-CA-Zertifikate zu kommen, ist zwar für uns schwierig, ist für gewisse MITM-fähige Akteure aber auch im eigentlich nicht berechtigten Fall möglich.

Immer aber gilt, dass eine wieauchimmer verschlüsselte Verbindung sicherer ist, als eine unverschlüsselte (sofern nicht die Unvorsichtigkeit beim DAU vorm Bildschirm durch übersteigerte Sicherheitsvorstellung steigt). Wo wir auch schon bei Problem wären: der vorm Bildschirm. ;-)

Last edited by aseerel4c26 (2014-02-14 15:46:54)

Offline

#40 2014-02-13 19:54:27

amm
Member
Registered: 2009-09-20
Posts: 618
Website

Re: OpenStreetMap.org jetzt verschlüsselt

Nadjita wrote:

Der einzige Grund, der gegen HTTPS spricht, ist, dass es rechenaufwändiger ist. Bei halbwegs modernen Prozessoren wird allerdings der Löwenanteil davon in Hardware gemacht, so dass man es in der Regel nicht merkt (und da spreche ich durchaus aus Erfahrung).

Man kann diese Erfahrung auf OSM bestaetigen. Ein paar Tage bevor https auf osm.org eingefuehrt wurde, wurde es bereits auf den tile servern eingerichtet. Testeshalber wurden dann ca 20% aller Tile Aufrufe ueber https gelenkt um den Effekt auf Performance zu testen. Der Effekt war nicht wirklich sichtbar. Selbst auf dem Deutschen Tileproxy, der mit bis zu 90 Mbit/s eine der am staerkst belasteten proxys im CDN ist hat man auf den munim graphen absolut keinen unterschied in der CPU Nutzung gesehen. Sowohl vorher als auch nachher benoetigt Squid nur ein paar wenige % CPU Auslastung um die Kacheln auszuliefern.

Bei anderen Diensten die weniger Traffic verursachen duerfte der Unterschied wohl noch gerinnger sein. Insofern ist Performance in den aller meisten Faellen heutezutage nicht mehr ein relevante entscheidungs Grund fuer oder gegen https.

Offline

#41 2014-02-14 12:11:10

rayquaza
Member
From: DE-BW
Registered: 2012-11-18
Posts: 2,007

Re: OpenStreetMap.org jetzt verschlüsselt

maxbe wrote:
derstefan wrote:

Und das Erraten von Inhalten aufgrund der Größe sollte bei Kacheln sehr schwer sein, da alle etwa gleich groß sind.

Wäre interessant zu untersuchen, ungeprüft würde ich das jedenfalls nicht behaupten. Vielleicht ist die Kombination "22221, 15448, 9496, 22493, 19901, 26685, 29469, 30141, 51895, 41911, 18669, 17437, 24589, 29549, 45767, 51255, 59079, 40114" (ein Bildschirm voll verschlüsselter München-Kacheln in Zoom 15, Reihenfolge beliebig) tatsächlich recht selten.

Zusätzlich könnte man das evtl. weiter einschränken, wenn man betrachtet wie lange der Server zum Ausliefern (=>Rendern) braucht.

whb wrote:

OAuth geht übrigens nicht über https: [JOSM-Ausgabe]

Hat das schon jemand mit etwas anderem als JOSM testen können? Also ist das Problem beim API-Server oder bei JOSM? Meine Anwendung braucht das derzeit noch nicht, weshalb mein "OAuth scheint auch zu funktionieren" oben sich nur auf den Empfang eines OAuth-Tokens ohne weitere Tests bezog.
/edit: Benutzereinstellungen abrufen geht, also vermutlich eher ein Problem bei JOSM.

Nadjita wrote:
rayquaza wrote:

Hier im Forum gibt's gar keine, und auf osm.org kann man sie nicht deaktivieren

Ja, aber man kann E-Mails über das Forum senden.

OT: Das habe ich so selbstverständlich deaktiviert dass ich da nicht dran gedacht habe wink

Last edited by rayquaza (2014-02-14 13:20:12)

Offline

#42 2014-02-14 13:43:38

Schina02
Member
Registered: 2013-10-19
Posts: 278

Re: OpenStreetMap.org jetzt verschlüsselt

Blöde Frage, aber was bringt es denn, JOSM per https anzuschließen? Letztlich sieht man ja anhand deiner Einträge im Benutzerkonto was du bearbeitet hast. Oder verstehe ich da was falsch?

Offline

#43 2014-02-14 13:51:17

rayquaza
Member
From: DE-BW
Registered: 2012-11-18
Posts: 2,007

Re: OpenStreetMap.org jetzt verschlüsselt

Wenn man nicht OAuth nutzt überträgt JOSM derzeit das Kennwort unverschlüsselt, JOSM prüft regelmässig ob du eine PN erhalten hast, welche Objekte du herunterlädst (und damit z.B. wie und wie schnell man arbeitet, ausserdem kann man JOSM auch für anderes nutzen) wird normalerweise auch nicht veröffentlicht. Und natürlich weil es geht.

Offline

#44 2014-02-14 14:21:26

chris66
Member
From: Germany
Registered: 2009-05-24
Posts: 9,836

Re: OpenStreetMap.org jetzt verschlüsselt

Ab welcher Version von JOSM geht das? Und wo kann man das einstellen.


Mapper aus dem Münsterland.

Offline

#45 2014-02-14 14:24:31

rayquaza
Member
From: DE-BW
Registered: 2012-11-18
Posts: 2,007

Re: OpenStreetMap.org jetzt verschlüsselt

Offline

#46 2014-02-14 14:36:47

Netzwolf
Member
Registered: 2008-04-01
Posts: 1,665

Re: OpenStreetMap.org jetzt verschlüsselt

Nahmd,

amm wrote:

Dennoch weit wichtiger duerfte sein endlich die Uebertragung von passwoertern im Klartext im Forum und per JOSM zu unterbinden. Denn so kann jeder klein Kriminelle im lokalen WLAN (z.B. im oeffentlichen hotspot) ohne Probleme das Passwort mitlesen. Und da nun mal viele (auch gegen die Empfehlungen) ihre Zugangsdaten wiederverwenden, kann dadurch schon ein echter Verlust entstehen und ist einfach nicht mehr Zeitgemaess.

Man kann nach den Möglichkeiten eines Angreifers staffeln:

(1) reines Mitlesen.

(in großem Stil durch Anzapfen eines Unterseekabels)

Da reicht verschlüsselte Übertragung per https, auch mit einem selbstunterschriebenen Zertifikat.
Das Zertifikat ist wichtig gegen Man in the middle - den haben wir hier aber nicht.

(2) Mitlesen und Pakete einfügen können.

Das ist die Situation im lokalen WLAN.

Das Pakete einfügen können ermöglicht einen eher sozialen Angriff, der das Kommunikationsbedürfnis des Angriffsziels ausnutzt:
ich sabotiere jeden https-Verbindungsaufbau, indem ich auf das <syn> meines Angriffsziels ein gefaktes <rst> seines Peers einfüge. Da ich ob der Nähe schneller bin als der Server, scheitert jeder https-Verbindungsaufbau.

Ist das Kommunikationsbedürfnis meines Angriffsziels hoch genug, wird er auf http: wechseln (diverse Software macht das automatisch), und damit zu meinem Opfer.

Security sollte verbindlich sein, Security als Option ist keine wirklich gute Wahl. Ergo: unter http: nur noch einen erklärenden Text anbieten, aber kein Login mehr zulassen. Das ist aber unbequem und wird deshalb nicht gemacht. Und so wird mein Angriffsziel mein Opfer.

(3) Man in the middle.

Hier ist ein selbst unterschriebene Zertifikat tödlich. Aber selbst mit einem offiziellen Zertifikat bleibt der Angriff nach (2) möglich, sogar noch perfider: nachdem ich mein Angriffsziel zur Nutzung von http genötigt habe, kann ich ihm eine Seite unterjubeln, auf der ich darauf hinweise, dass der https-Dienst ausgefallen ist und temporär bitte http benutzt werden soll. Und selbst wenn der Server ausschließlich https anbietet: Opfer → [http] → (böser Wolf) → [https] → Server; mein Opfer hat wieder verloren.


Also: https ist eine feine Sache, wirkliche Sicherheit vermittelt es aber nur in Verbindung mit einer Schulung der Nutzer.


(3a) Man in the middle durch Schlapphut&Co:

Du hast verloren. Jedenfalls wenn keine Client-Zertifikate genutzt werden.

Alldieweil sich unter den gesammelten Daten des Dienstes mit hoher Wahrscheinlichkeit auch solche befinden, mit denen man einen Mitarbeiter der Zertifizierungsstelle – ähem – dazu "überreden" kann, ein beliebiges Zertifikat zu unterschreiben.


Gruß Wolf (heute inkarniert als Miesmacher)

Offline

#47 2014-02-14 15:45:39

aseerel4c26
Member
From: Germany
Registered: 2013-12-01
Posts: 142
Website

Re: OpenStreetMap.org jetzt verschlüsselt

Netzwolf wrote:

(3) Man in the middle.

Hier ist ein selbst unterschriebene Zertifikat tödlich.

[…]

(3a) Man in the middle durch Schlapphut&Co:

Du hast verloren.

Naja, jeweils nicht mit certificate pinning (was z.B. per Browser-Addons verfügbar ist und in manchen Browern für manche populäre/gut zahlende Seiten auch schon eingebaut ist), sofern du irgendwann mal die Chance hast, das richtige Zertifikat zu bekommen. Das gilt auch eingeschränkterweise wenn  dir dies  erst zukünftig möglich sein sollte, falls der Angreifer sich nicht erlauben kann aufzufliegen.

Offline

#48 2014-02-14 18:45:54

Netzwolf
Member
Registered: 2008-04-01
Posts: 1,665

Re: OpenStreetMap.org jetzt verschlüsselt

Nahmd,

ich gehe von Otto Normalnutzer und Standardsoftware out of the Box aus.

Und da ist Schulung das Ein und Alles.

Sonst endet die Sicherheit der genialsten Kryptografie bereits am nächsten Hotspot.

Gruß Wolf

Offline

#49 2014-02-16 09:09:36

Thomas8122
Member
From: Sachsen
Registered: 2012-04-15
Posts: 1,081

Re: OpenStreetMap.org jetzt verschlüsselt

Moin,
es wird zwar die meisten hier nicht tangieren, aber wenn ich mal schnell was mit Potlatch editiere und danach wieder auf OpenStreetMap klicke, ist meine Verschlüsselung weg. Ist das ein Bug oder ein Feature? Und ist das nur bei mir so?

Gruß Thomas

Offline

#50 2014-02-16 10:40:44

pointhi
Member
Registered: 2012-10-08
Posts: 70
Website

Re: OpenStreetMap.org jetzt verschlüsselt

Ich kann den editor (ID und Potlatch) auch nicht mit https aufrufen (werde zu http weitergeleitet). So ist es nicht verwunderlich dass man beim zurückgehen zu der Hauptseite auf http bleibt.

Ich würde zu einem Bug, oder einer noch nicht vollständige migration nach https tendieren. Wüsste aber nicht, wo man da jetzt ein issue erstellen soll.

mfg, pointhi

Offline

Board footer

Powered by FluxBB