You are not logged in.

#1 2014-12-01 15:49:37

Hakuch
Member
Registered: 2014-03-16
Posts: 638

osm.org ssl auf Tiles

Hi,

also OSM.org bietet ja seit diesem Jahr auch eine ssl Verbindung an. in dem passenden Thread (http://forum.openstreetmap.org/viewtopi … 72#p398772) wurde auch erwähnt dass tile.osm.org ssl anbietet. Allerdings ist mir jetz erst aufgefallen das mein FF mich warnt dass nicht alles verschlüsselt übertragen wird und dann hab ich mal über die Netzwerkanalyse geschaut (F12 bei Firefox) und gesehen dass da nichts mit https ist beim Zugriff auf die Tileserver?!

Zudem ist mir das erste mal aufgefallen, dass ja auch Tiles von Mapquest (otile.mqcdn.com) geladen werden, selbst wenn man den Standardstyle laufen hat. Wie kommt denn sowas?!
--> ach habs mir grad selbst beantwortet. Weil es ja noch diese Ansicht der anderen Styles gibt die ja auch immer den aktuellen Ausschnitt zeigen. Das heisst, Mapquest und thunderforest wissen immer welche IP sich welche Gebiete anschaut. Das sollte man sich zumindest bewusst sein.

Offline

#2 2014-12-01 21:12:05

derstefan
Member
From: OpenTopoMap
Registered: 2010-03-28
Posts: 504
Website

Re: osm.org ssl auf Tiles

Guter Hinweis. Und man sollte sich auch bewusst sein, dass neben Mapquest und thunderforest auch sämtliche modernen Geheimdienste wissen, welche Gebiete man auf der Karte betrachtet, da sie alle an den Leitungen sitzen und mitschnüffeln. sad

Offline

#3 2014-12-01 21:23:57

woodpeck
Member
Registered: 2009-12-02
Posts: 1,190

Re: osm.org ssl auf Tiles

derstefan wrote:

Und man sollte sich auch bewusst sein, dass neben Mapquest und thunderforest auch sämtliche modernen Geheimdienste wissen, welche Gebiete man auf der Karte betrachtet, da sie alle an den Leitungen sitzen und mitschnüffeln. sad

Ich werde den Admins vorschlagen, das irreführende SSL auf der Hauptseite wieder abzuschaffen, sonst denkt deswegen noch irgendjemand, seine Verbindung sei abhörsicher.

Bye
Frederik

Offline

#4 2014-12-01 22:31:37

Hakuch
Member
Registered: 2014-03-16
Posts: 638

Re: osm.org ssl auf Tiles

derstefan wrote:

...da sie alle an den Leitungen sitzen und mitschnüffeln. sad

was bei richtig umgesetzten ssl ja nich mehr so schlimm wäre...

Offline

#5 2014-12-01 22:38:12

couchmapper
Member
Registered: 2013-02-17
Posts: 462

Re: osm.org ssl auf Tiles

Kann das alles nicht so ganz nachvollziehen.

https://osm.org -> Tiles kommen von https://?.tile.openstreetmap.org/?/?/?.png

Wenn Map Layers nicht aufgeklappt ist, wird auch nur genau dieser Tileserver abgefragt.

Solange man also nur auf der Standard Mapnik-Karte unterwegs ist und keine der anderen Karten über Map Layers anzeigt, sehe ich da kein Problem.
Unschön, dass genau dieses Verhalten so nicht wirklich vom Nutzer erwartet wird....

Last edited by couchmapper (2014-12-01 22:48:09)

Offline

#6 2014-12-02 00:32:33

Hakuch
Member
Registered: 2014-03-16
Posts: 638

Re: osm.org ssl auf Tiles

aje, hast doch recht, ich hab nich richtig geschaut. Ich war so abgelenkt von der mapbox-Sache dass ich nur den Link in der Auflistung beachtet hab wo nicht angezigt wird das es eigentlich https ist. Ups, aber das is ja erstmal gut smile

Nur nich gut ist, dass das hinfällig ist sobald man die Layers aufmacht. Zwar ist die Verbindung zu mapbox noch verschlüsselt (immerhin..) aber zu thunderforest nicht. Also kann man es sich ab dem Moment dann eigentlich auch ganz sparen.

btw, kennt jmd ein plugin dass etwas deutlicher davor warnt bzw. erstmal um Erlaubnis fragt wenn von einer https-Seite aus irgendeine Abfrage getätigt wird die nicht über ssl läuft?

Last edited by Hakuch (2014-12-02 00:35:46)

Offline

#7 2014-12-02 07:28:35

SammysHP
Member
From: Celle, Germany
Registered: 2012-02-27
Posts: 1,669
Website

Re: osm.org ssl auf Tiles

Mixed content... Wird da nicht in Chrome und Firefox ohne irgendwelche Plugins gewarnt?

Offline

#8 2014-12-02 11:10:19

Hakuch
Member
Registered: 2014-03-16
Posts: 638

Re: osm.org ssl auf Tiles

ja wie gesagt verändert sich der Button vor der Adresszeile, merkt man nicht so wirklich und ich würd mir eine Nachfrage wünschen ob man das jetzt erlaubt (am liebsten hätt ich das bei jedem Link der auf ne externe Seite geht, aber dann würde man sich ja totklicken vor lauter nachfragen smile)

Offline

#9 2014-12-02 11:50:33

maxbe
Member
Registered: 2010-01-19
Posts: 3,246
Website

Re: osm.org ssl auf Tiles

Wer gemischte Übertragungen nicht mag, kann die beim Firefox auch ganz ausschalten. In der Einstellung (about:config) gibt es

* security.mixed_content.block_active_content (Default: true). Damit kann man unverschlüsselte aktive Inhalte ausblenden. Also JavaScript per http innerhalb einer https-Seite.
* security.mixed_content.block_display_content (Default: false). Damit kann man unverschlüsselte nicht-aktive Teile ausblenden. Bilder z.B.

Setzt man letzteres auf "true", gibt es keine Kartenvorschau für Radfahrkarte, Verkehrskarte und Humanitarian.

Bestimmt gibts auch irgendein Plugin, das diese Einstellungen pro Webseite einstellen lässt (und diese Einstellungen dann an seine Werbepartner übermittelt...)

Offline

#10 2014-12-02 19:41:36

derstefan
Member
From: OpenTopoMap
Registered: 2010-03-28
Posts: 504
Website

Re: osm.org ssl auf Tiles

Generell ist meine Einstellung: Ein bisschen Verschlüsselung ist immer noch besser als gar keine Verschlüsselung. Natürlich sollte dem Nutzer bei mixed content nicht Sicherheit vorgegaukelt werden. Aber das ist Sache des Browsers. Der Firefox geht bei der Warnung vor gemischten Inhalten nicht weit genug, denn es wertet nach meiner Erfahrung keine per Javascript nachgeladenen Inhalte aus.

Offline

#11 2014-12-02 22:34:57

Hakuch
Member
Registered: 2014-03-16
Posts: 638

Re: osm.org ssl auf Tiles

derstefan wrote:

Generell ist meine Einstellung: Ein bisschen Verschlüsselung ist immer noch besser als gar keine Verschlüsselung. Natürlich sollte dem Nutzer bei mixed content nicht Sicherheit vorgegaukelt werden. Aber das ist Sache des Browsers. Der Firefox geht bei der Warnung vor gemischten Inhalten nicht weit genug, denn es wertet nach meiner Erfahrung keine per Javascript nachgeladenen Inhalte aus.

Mh doch, also ich weiß jetzt nicht was du als Warnung meinst, also zumindest registriert er es. Die Inhalte auf osm.org werden ja auch nachgeladen. Sobald du die Layeransicht aufmachst ändert sich das Symbol vor der Adreszeile (was natürlich nicht wirklich wahrnehmbar ist)

Leider kenn ich mich bei der FF Plugin-Erstellung nicht genügend aus. ICh denke dieses Verhalten könnte man realtiv leicht auch in eine richtige Warnung (zumindest) oder eine Berechtigungsanfrage umwandeln.

Offline

#12 2014-12-02 22:37:00

Hakuch
Member
Registered: 2014-03-16
Posts: 638

Re: osm.org ssl auf Tiles

derstefan wrote:

Generell ist meine Einstellung: Ein bisschen Verschlüsselung ist immer noch besser als gar keine Verschlüsselung.

Vielleicht aber, ist ein bisschen verschlüsselt auch so wie garnicht verschlüsselt...

Offline

Board footer

Powered by FluxBB