OpenStreetMap Forum

The Free Wiki World Map

You are not logged in.

Announcement

A fix has been applied to the login system for the forums - if you have trouble logging in please contact support@openstreetmap.org with both your forum username and your OpenStreetMap username so we can make sure your accounts are properly linked.

#76 2017-04-25 20:09:38

mmd
Member
Registered: 2010-11-06
Posts: 1,230

Re: Datenschutz bei OSM

pitscheplatsch wrote:

in meinem Post hatte ich extra httpS://hdyc.neis-one.org geschrieben.

Klar, das passt schon. Mir ging es nur um die Leute, die aus welchen Gründen auch immer per HTTP auf die Seite gelangen.

Offline

#77 2017-04-25 20:45:25

whb
Member
Registered: 2013-01-18
Posts: 244

Re: Datenschutz bei OSM

pitscheplatsch wrote:
Gppes wrote:

Sorry, bin echt schon verunsichert, was bedeutet bei der OAuth Abfrage noch mal:

Allow the client application to:
[x]  read your user preferences.

Z.B. moechte ich meine Email unter keinen Umstaenden und zu keinem Zeitpunkt an dritte ausgehaendigt wissen.

(...)

Beim Zugriff auf die User Preferences sind nur Daten enthalten,
die auch so hier öffentlich[1] oder über die API hier[2] abrufbar sind
(soweit ich mir das angeschaut habe). Die EMail-Adresse ist nicht dabei.

(...)

[1] http://www.openstreetmap.org/user/pitscheplatsch
[2] osm.org/api/0.6/user/52626

Etwas mehr ist es glaube ich schon.
Wenn es die selben Informationen wären, wie sowieso schon öffentlich zugänglich, bräuchte es kaum eine extra Berechtigung diese zu lesen.
Wenn ich mich richtig erinnere, erlaubt die Berechtigung den Zugriff auf (man muss seine eigenen Zugangsdaten eingeben, dann bekommt man die Info):
https://www.openstreetmap.org/api/0.6/user/details

Das ist dann das Ergebnis (habe ich hier mit "x" unkenntlich gemacht):

<osm version="0.6" generator="OpenStreetMap server">
<user id="x" display_name="x" account_created="x">
<description>x</description>
<contributor-terms agreed="x" pd="x"/>
<roles>x</roles>
<changesets count="x"/>
<traces count="x"/>
<blocks><received count="x" active="x"/></blocks>
<languages>x</languages>
<messages><received count="x" unread="x"/><sent count="x"/></messages>
</user>
</osm>

Die E-Mail-Adresse ist da sicher nicht dabei.
Diese ist bisher mit keiner Berechtigung zugänglich.
Deshalb läuft hier auch eine Diskussion, ob eine neue Berechtigung eingeführt werden soll, welche den Zugriff auf diese dann erlauben würde, falls der Benutzer diese Berechtigung erteilt:
https://github.com/openstreetmap/openst … /pull/1431

Viele Grüße,
whb

Offline

#78 2017-04-25 20:52:48

pitscheplatsch
Member
From: Somewhere
Registered: 2011-05-21
Posts: 91
Website

Re: Datenschutz bei OSM

whb wrote:

Etwas mehr ist es glaube ich schon.

Das ist dann das Ergebnis (habe ich hier mit "x" unkenntlich gemacht):

<osm version="0.6" generator="OpenStreetMap server">
<user id="x" display_name="x" account_created="x">
<description>x</description>
<contributor-terms agreed="x" pd="x"/>
<roles>x</roles>
<changesets count="x"/>
<traces count="x"/>
<blocks><received count="x" active="x"/></blocks>
<languages>x</languages>
<messages><received count="x" unread="x"/><sent count="x"/></messages>
</user>
</osm>

ja, danke, du hast Recht.

Ohne die Anforderung von irgendeiner Berechtigung habe ich den OSM OAuth von hier[1] aber nicht funktionsfaehig bekommen.

Viele Grüße
Pascal

[1] https://github.com/osmlab/osm-auth

Offline

#79 2017-04-25 20:53:19

RoterEmil
Member
Registered: 2016-10-09
Posts: 235

Re: Datenschutz bei OSM

hdyc...

mmd wrote:

Leute, die aus welchen Gründen auch immer per HTTP auf die Seite gelangen.

... z.B. über's wiki, die Stats-Seite oder mal im wiki nach 'hdyc' suchen. So einfach kommt man als Otto-Normal-User auf http-hdyc-Seiten wink

Offline

#80 2017-04-25 21:00:53

SimonPoole
Member
Registered: 2010-03-14
Posts: 1,368

Re: Datenschutz bei OSM

Gppes wrote:

Sorry, bin echt schon verunsichert, was bedeutet bei der OAuth Abfrage noch mal:

Allow the client application to:
[x]  read your user preferences.

Z.B. moechte ich meine Email unter keinen Umstaenden und zu keinem Zeitpunkt an dritte ausgehaendigt wissen.

Die "user preferences" sind ein (sehr) wenig genutztes Feature um ein Key-Value Datastore für jeden Nutzer zu haben, siehe auch http://wiki.openstreetmap.org/wiki/API_ … ed-in_user

Eine mögliche Nutzung wäre zum Beispiel irgendwelche Einstellungen einer App zu speichern.

Hat also nichts mit e-mail oder so zu tun. Falls mal irgendwann die Option die e-mail Adresse freizugeben kommt, gehe ich schon davon aus, dass die OSMF das bekanntgeben würde und dann natürlich auch die Privacy Policy angepasst würde.

Simon

Last edited by SimonPoole (2017-04-25 21:02:31)

Offline

#81 2017-04-25 21:16:06

scai
Member
Registered: 2011-11-20
Posts: 157
Website

Re: Datenschutz bei OSM

RoterEmil wrote:

hdyc...

mmd wrote:

Leute, die aus welchen Gründen auch immer per HTTP auf die Seite gelangen.

... z.B. über's wiki, die Stats-Seite oder mal im wiki nach 'hdyc' suchen. So einfach kommt man als Otto-Normal-User auf http-hdyc-Seiten wink

Ich war mal so frei und habe HTTPS daraus gemacht. Die URL befindet sich aber auch an zig anderen Stellen im Wiki.

Die Änderung bzgl. OAuth empfinde ich als einen sinnvollen Schritt. Gleichzeitig sind Metadaten sehr wichtig für OSM denke ich. Nicht nur um Vandalismus effektiv bekämpfen zu können, auch um überhaupt lokale Communities aufbauen und halten zu können.

Offline

#82 2017-04-25 21:36:55

whb
Member
Registered: 2013-01-18
Posts: 244

Re: Datenschutz bei OSM

SimonPoole wrote:
Gppes wrote:

Sorry, bin echt schon verunsichert, was bedeutet bei der OAuth Abfrage noch mal:

Allow the client application to:
[x]  read your user preferences.

Z.B. moechte ich meine Email unter keinen Umstaenden und zu keinem Zeitpunkt an dritte ausgehaendigt wissen.

Die "user preferences" sind ein (sehr) wenig genutztes Feature um ein Key-Value Datastore für jeden Nutzer zu haben, siehe auch http://wiki.openstreetmap.org/wiki/API_ … ed-in_user

Eine mögliche Nutzung wäre zum Beispiel irgendwelche Einstellungen einer App zu speichern.

Die Berechtigung erlaubt aber nicht nur den Lesezugriff auf
https://www.openstreetmap.org/api/0.6/user/preferences
sondern auch auf
https://www.openstreetmap.org/api/0.6/user/details
Wenn ich mich da jetzt nicht komplett täusche?

Viele Grüße,
whb

Offline

#83 2017-04-26 05:06:02

Harald Hartmann
Member
From: 98667 Schönbrunn
Registered: 2014-04-02
Posts: 2,050
Website

Re: Datenschutz bei OSM

pitscheplatsch wrote:

Ohne die Anforderung von irgendeiner Berechtigung habe ich den OSM OAuth von hier[1] aber nicht funktionsfaehig bekommen.

Jupp, dem ist so, und laut API ist "read user preferences" das einzig "lesende" Recht (außer private GPS Traces lesen zu dürfen, was vermutlich aber noch schlimmer ist).
Es bräuchte also für diesen Zweck, wo man nur feststellen möchte, ob sich jemand erfolgreich gegen openstreetmap.org authentifiziert hat, eine neue Berechtigung "is_authenticated"

whb wrote:

Die Berechtigung erlaubt aber nicht nur den Lesezugriff auf
https://www.openstreetmap.org/api/0.6/user/preferences
sondern auch auf
https://www.openstreetmap.org/api/0.6/user/details
Wenn ich mich da jetzt nicht komplett täusche?

Nein, du täuschst dich nicht.

Und um nochmal die Unterschiede der Daten durch die unterschiedlichen Möglichkeiten des Abrufes darzustellen:

Durch die öffentliche API (ohne irgendeinen Login) erhält man in meinem Fall

<osm version="0.6" generator="OpenStreetMap server">
<user id="92644" display_name="Harald Hartmann" account_created="2009-01-19T07:09:19Z">
<description>
[OSM Wiki](https://wiki.openstreetmap.org/wiki/User:Haribo) [OSM Forum](http://forum.openstreetmap.org/profile.php?id=65376) [OSM Help](https://help.openstreetmap.org/users/10952/harald-hartmann) [mapillary](https://www.mapillary.com/profile/haribo)
</description>
<contributor-terms agreed="true"/>
<img href="http://api.openstreetmap.org/attachments/users/images/000/092/644/original/30bfe23411ce9e2e2a3b0cdda516e117.jpg"/>
<roles></roles>
<changesets count="510"/>
<traces count="0"/>
<blocks>
<received count="0" active="0"/>
</blocks>
</user>
</osm>

Die einzige Information darin, die ich nicht durch normales Grabben der öffentlichen Benutzerseite (ohne irgendeinen Login) erhalte ist die Anzahl der "blocks"

Meine Details (nach erfolgreichem Login/OAuth)

<osm version="0.6" generator="OpenStreetMap server">
<user id="92644" display_name="Harald Hartmann" account_created="2009-01-19T07:09:19Z">
<description>
[OSM Wiki](https://wiki.openstreetmap.org/wiki/User:Haribo) [OSM Forum](http://forum.openstreetmap.org/profile.php?id=65376) [OSM Help](https://help.openstreetmap.org/users/10952/harald-hartmann) [mapillary](https://www.mapillary.com/profile/haribo)
</description>
<contributor-terms agreed="true" pd="true"/>
<img href="http://api.openstreetmap.org/attachments/users/images/000/092/644/original/30bfe23411ce9e2e2a3b0cdda516e117.jpg"/>
<roles></roles>
<changesets count="510"/>
<traces count="0"/>
<blocks>
<received count="0" active="0"/>
</blocks>
<home lat="50.5175" lon="10.8698" zoom="3"/>
<languages>
<lang>de-DE</lang>
<lang>de</lang>
<lang>en-US</lang>
<lang>en</lang>
</languages>
<messages>
<received count="121" unread="0"/>
<sent count="144"/>
</messages>
</user>
</osm>

erlauben dann noch den Zugriff auf die Informationen "home", "languages" und "messages"

Last edited by Harald Hartmann (2017-04-26 06:13:37)


Mein aktives Gebiet: Gemeinde Schleusegrund

Offline

#84 2017-04-26 07:50:11

scai
Member
Registered: 2011-11-20
Posts: 157
Website

Re: Datenschutz bei OSM

Interessant wäre ein vom Nutzer selbst konfigurierbarer Opt-Out bzgl. Teilnahme an personenbezogener Statistiken. Heißt, der Nutzer setzt in seinen Einstellungen einen Haken à la "[x] Teilnahme an personenbezogenen Statistiken nicht erwünscht", was keinen Einfluss auf die gespeicherten oder beziehbaren Metadaten haben soll, von Tools wie hdyc jedoch berücksichtigt werden sollte. Bei hdyc könnte dann einfach die Nutzerseite leer bleiben.

Ich sehe dabei aber auch direkt wieder Nachteile. Einmal könnte diese Funktion gegenteilig verwendet werden in dem gezielt nach Nutzern gesucht wird, die diesen Haken gesetzt haben. Beispielsweise um sich danach anzuschauen was und wo diese Nutzer editieren, und wo sie ggf. wohnen könnten. Andererseits muss man vermutlich auch diese Opt-Out-Beschreibung juristisch geschickt wählen um darauf hinzuweisen, dass die ganze Sache ausschließlich Tool-seitig berücksichtigt werden muss und dennoch genauso viele Daten wie vorher gespeichert und abrufbar sind.

Einerseits gibt man dem Nutzer dann ein die Möglichkeit, im gewissen Maße der Nutzung seiner Metadaten zu widersprechen. Andererseits wiegen sich dann viele im falschen Glauben. Vielleicht schon Grund genug, sowas doch nicht zu machen?

Meinungen dazu? smile

Last edited by scai (2017-04-26 08:50:41)

Offline

#85 2017-04-26 08:40:30

SimonPoole
Member
Registered: 2010-03-14
Posts: 1,368

Re: Datenschutz bei OSM

whb wrote:
SimonPoole wrote:
Gppes wrote:

Sorry, bin echt schon verunsichert, was bedeutet bei der OAuth Abfrage noch mal:

Allow the client application to:
[x]  read your user preferences.

Z.B. moechte ich meine Email unter keinen Umstaenden und zu keinem Zeitpunkt an dritte ausgehaendigt wissen.

Die "user preferences" sind ein (sehr) wenig genutztes Feature um ein Key-Value Datastore für jeden Nutzer zu haben, siehe auch http://wiki.openstreetmap.org/wiki/API_ … ed-in_user

Eine mögliche Nutzung wäre zum Beispiel irgendwelche Einstellungen einer App zu speichern.

Die Berechtigung erlaubt aber nicht nur den Lesezugriff auf
https://www.openstreetmap.org/api/0.6/user/preferences
sondern auch auf
https://www.openstreetmap.org/api/0.6/user/details
Wenn ich mich da jetzt nicht komplett täusche?

Viele Grüße,
whb

Siehe https://github.com/openstreetmap/openst … ssues/1530

Offline

#86 2017-04-26 09:10:48

Chrysopras
Member
From: Germany
Registered: 2015-04-01
Posts: 937

Re: Datenschutz bei OSM

mmd wrote:
pitscheplatsch wrote:

in meinem Post hatte ich extra httpS://hdyc.neis-one.org geschrieben.

Klar, das passt schon. Mir ging es nur um die Leute, die aus welchen Gründen auch immer per HTTP auf die Seite gelangen.

Ist es nicht möglich, HTTP-Aufrufe automatisch auf HTTPS umzuleiten? Ich meine mich zu erinnern, dass es Websites gibt, die einen, wenn man sie mit http://www.beispiel.com aufruft, automatisch auf https://www.beispiel.com landen lassen, sodass man sie nicht einmal versehentlich über HTTP abfragen kann. Das wäre vielleicht in diesem Fall ganz praktisch. Oder irre ich mich, oder hat das andere Nachteile?

Online

#87 2017-04-26 09:30:48

woodpeck
Member
Registered: 2009-12-02
Posts: 721

Re: Datenschutz bei OSM

Chrysopras wrote:

Ist es nicht möglich, HTTP-Aufrufe automatisch auf HTTPS umzuleiten?

Ja, klar. Ich persönlich ärgere mich aber oft über solche Websiten, weil ich als Nutzer gern entscheiden möchte, wie ich die Seite aufrufe. Erst neulich war ich wieder in einem Hochschul-Netz unterwegs, aus dem ich bestimmte HTTPS-Seiten nicht aufrufen konnte, weil irgendwie der Zwangsproxy damit ein Problem hatte, und wenn einen die Seite dann noch auf HTTPS zwingt, geht gar nichts mehr. Da sagen die HTTPS-Fundamentalisten dann "tja Pech gehabt, wenn alle sich an die Standards halten würden, gäbe es das Problem nicht", aber davon kann ich mir nichts kaufen...

Bye
Frederik

Offline

#88 2017-04-26 09:39:14

mmd
Member
Registered: 2010-11-06
Posts: 1,230

Re: Datenschutz bei OSM

woodpeck wrote:

Da sagen die HTTPS-Fundamentalisten dann "tja Pech gehabt, wenn alle sich an die Standards halten würden, gäbe es das Problem nicht", aber davon kann ich mir nichts kaufen...

Nunja, Pascals Seite wird in diesem Fall wohl eh nicht funktionieren, weil die Anmeldung über openstreetmap.org sehr wohl HTTPS nutzt. Momentan könnte man das nur so umschiffen, indem man sich zu Hause anmeldet, dann darauf hofft, dass das Cookie das Jahr lang unbeschadet überlebt und keine weitere Anmeldung mehr notwendig ist.

Generell macht es halt nicht soviel Sinn, wenn ich zunächst die Anmeldung über HTTPS mache und später die Tokens einfach so herumschicke. Mag im konkreten Fall nicht so schlimm sein, ist aber nicht gerade 'best practise'.

Last edited by mmd (2017-04-26 09:40:04)

Offline

#89 2017-04-26 10:56:19

Hakuch
Administrator
Registered: 2014-03-16
Posts: 611

Re: Datenschutz bei OSM

In dem Fall würde ich mich auch als https-hardliner bezeichnen und hab auf fast allen meinen Instanzen eine Zwangsweiterleitung eingerichtet (was übrigens sehr einfach ist). Ist halt leider der einzige Weg solche (Uni)Netzwerke dazu zu zwingen, mit Umweg die Endnutzer-innen zu "quälen" damit die sich bei der Netzwerkverwaltung beschweren.

Wär schön wenn man entsprechende Fehlermeldungen platzieren könnte statt einfach nur "keine Verbindung" zu bekommen.


Aber zum Thema: ich fände eine feinere Definition der permissions fürs oauth, also ein "is_authenticated" statt "read_preferences" auch für sehr sinnvoll. Ich bin auch immer sehr irritiert über diesen Text weil ich dann ersteinmal denke "was will die app denn von meinen Einstellungen wissen?" Was dann wieder dazu führt, dass Leute trainiert werden so etwas zuzulassen wo es vielleicht echt nicht notwendig wäre.

Offline

#90 2017-04-26 11:17:07

Chrysopras
Member
From: Germany
Registered: 2015-04-01
Posts: 937

Re: Datenschutz bei OSM

Hakuch wrote:

Aber zum Thema: ich fände eine feinere Definition der permissions fürs oauth, also ein "is_authenticated" statt "read_preferences" auch für sehr sinnvoll. Ich bin auch immer sehr irritiert über diesen Text weil ich dann ersteinmal denke "was will die app denn von meinen Einstellungen wissen?"

Genauso geht es mir auch. Daher +1 für ein "is_authenticated" o.Ä.

Online

#91 2017-04-27 18:04:45

pitscheplatsch
Member
From: Somewhere
Registered: 2011-05-21
Posts: 91
Website

Re: Datenschutz bei OSM

Chrysopras wrote:
Hakuch wrote:

Aber zum Thema: ich fände eine feinere Definition der permissions fürs oauth, also ein "is_authenticated" statt "read_preferences" auch für sehr sinnvoll. Ich bin auch immer sehr irritiert über diesen Text weil ich dann ersteinmal denke "was will die app denn von meinen Einstellungen wissen?"

Genauso geht es mir auch. Daher +1 für ein "is_authenticated" o.Ä.

auch ein +1 von mir.

Wie bereits erwähnt, ich wollte ohne irgendwelche Permissions die Authentifizierung in HDYC integrieren, was mir aber leider nicht gelungen ist. Laut OAuth Spec (2.0?) sollte es aber auch vom Standard irgendeine Funktion dafür geben. Ich weiß es aber gerade leider nicht mehr ganz genau. Vom OSM Server wird sowas nicht angeboten.

Bis jetzt bin ich aber ehrlich gesagt ziemlich positiv überrascht. Die "Beschwerden" über den jetzt vorhanden Login auf HDYC kann ich an einer Hand abzählen. Was ich oder auch ihr allerdings häufiger machen muss, ist zu erklären, warum ich die "read_preferences" einfordere und was diese überhaupt sind. Hier herrscht anscheinend etwas Unklarheit, was ich jetzt aber nicht schlimm finde. Sollen die Leute lieber fragen, anstatt alles anzuhaken und zu klicken.

Viele Grüße
Pascal

PS: Aktuell mach ich mir ein paar Gedanken, wie HDYC Profile auf expliziten Wunsch public (ohne Login) einsehbar sein können. Derzeit tendiere ich zu einem Opt-In Parameter à la "Ja, bitte mein HDYC-Profil öffentlich & ohne Login anzeigen" auf der OSM User Profile Seite, ähnlich wie die "Related OSM Accounts". Dann kann das Jeder aktivieren wie er möchte.

Offline

#92 2017-04-27 18:16:50

SimonPoole
Member
Registered: 2010-03-14
Posts: 1,368

Re: Datenschutz bei OSM

pitscheplatsch wrote:

..Laut OAuth Spec (2.0?) sollte es aber auch vom Standard irgendeine Funktion dafür geben. ..

openstreetmap.org unterstützt OAuth 1.0a, OAuth 2.0 ist was wesentlich anderes.

Simon

Offline

Board footer

Powered by FluxBB