OpenStreetMap.org jetzt verschlüsselt

Hallo,

gerade eben habe ich bemerkt, dass es möglich ist, verschlüsselt auf OpenStreetMap.org zu surfen und tatsächlich wurde vor wenigen Stunden TLS aktiviert:
http://blog.openstreetmap.org/2014/02/11/osm-enhances-user-privacy/

Find ich gut. :slight_smile:

JOSM konnte ich noch nicht zu einer verschlüsselten Verbindung überreden.
https://api.openstreetmap.org/api/capabilities funktioniert aber zumindest im Browser schon.

Viele Grüße,
whb

Wow, +1! Danke auch für die Nachricht hier! Warten wir mal noch auf die API.

API funktioniert auch: Ich habe hier eine Web-Anwendung, die sich die Notes holt, bei der der Teil nun auch bei einem Aufruf über HTTPS funktioniert :slight_smile:
Nur JOSM hat wohl noch Probleme. Vielleicht mal da einen Bug melden?

/e: Normale OSM-Objekte abrufen geht auch, OAuth scheint auch zu funktionieren

JOSM hatte ein bug im URL parsing. Ist aber bereits gefixed worden und nun funktioniert auch JOSM mit https.

Fuer iD ist https noch deaktiviert, da es noch resource von anderen Servern laedt die kein https koennen wie taginfo. Allerdings soll auch das demnaechst umgesetzt werden. Genauso wie das Forum auch in vorbereitung ist auf SSL umgestellt zu werden.

Das ging aber schnell. :slight_smile:

Das Notes-Plugin scheint noch den gleichen Fehler zu haben:

OAuth geht übrigens nicht über https:

Viele Grüße,
whb

Was leider nur umständlich geht, ist Remote-Control mit Firefox. "Laden von gemischten aktiven Inhalten “http://127.0.0.1:8111 … wurde blockiert”. Das Whitelisting in Firefox ist leider auch immer nur für den aktuellen Seitenaufruf (bug 873349). Und einen Aufruf https://127.0.0.1:8111 mag JOSM anscheinend nicht (nicht verwunderlich). Das Problem liegt aber, meines Erachtens bei Firefox und unzureichenden Whitelisting-Möglichkeiten.

das forum funktioniert leider nicht mit https, vermutlich da der server nicht von osm gehostet ist. Es gibt ein selbstsigniertes Zertifikat, welches aber nur auf die standard-apache-seite weiterleitet. Vermutlich kommt wegen dem “bald” ein eigener forum-server (ist schon im osm wiki vorhanden: http://wiki.openstreetmap.org/wiki/Servers/clifford)

Ich hab bei Vespucci schon ein Issue gemacht damit sie https unterstützen, wie es scheint sieht der entwickler die sache aber nicht wirklich wichtig.

Bei der eingabemaske für passwörter steht sogar extra: Beachten Sie: Das Passwort wird unverschlüsselt gespeichert und übertragen!

Ich würde mal sagen dass man issues bei den verschiedenen osm-programmen aufmacht, die ein login unterstützen (falls https noch nicht unterstützt wird). Es ist jetzt nicht so, dass diese wichtige sicherheitsverbesserung von alleine an die ganzen programmierer durchdringt.

mfg, pointhi

Siehe dazu den anderen Thread: Feedback » HTTPS full support.

Bei OAuth werden weder Login, noch Passwort unverschlüsselt übertragen, und dies ist auch seit längerem die Defaulteinstellung für neue Vespucci Installationen. M.a.W. du regst dich über ein Nicht-Problem auf.

Stimmt nicht, ich hab das aktuelle vespucci 9.4, und in den OAuth berechtigungen auf meiner OSM-Seite steht nichts von Vespucci. Mein Handy ist aber erst 2 Monate alt, und so sind die Apps auch erst vor kurzem installiert worden! Unter Server einstellungen ist im Standard-url kein https, und der haken bei “OAuth erlauben” ist nicht gesetzt! Ich hab das jetzt bei mir lokal geändert, beides sollte aber standardmäßig verwendet werden. Eigentlich sollte wie bei “OSMap Tuner” nur mehr OAuth, kein username/passwort bei programmen zur bearbeitung von OSM-Daten verwendet werden.

mfg, pointhi

Doch, ausser du hast zuerst eine uralt Version installiert (aus Gründen der Rückwärtskompatibiltät übernimmt Vespucci Settings die schon vorhanden sind) oder sonst was gemacht, dass du uns nicht sagst. Siehe auch http://code.google.com/p/osmeditor4android/source/diff?spec=svn492&r=492&format=side&path=/branches/0.9/src/de/blau/android/prefs/AdvancedPrefDatabase.java Zeile 86.

stimmt, ich nutze f-droid als app-store für OSS, welcher zu dem zeitpunkt mit der version noch zurückhinkte. Ein Info-Feld wo darauf aufmerksam gemacht wird dass man unsicher arbeitet hab ich aber nie zu gesicht bekommen (erinnere mich jedenfalls nicht daran, und wenn dann hätte ich es gleich aktiviert), und so werden wohl der großteil der user die vespucci vor August 2013 installiert haben (oder bei f-droid vor 24.01.2014) noch immer mit der alten methode authentifizieren, was einfach mal ins blaue geraten >80% der nutzer sein werden.

mfg, pointhi

Ich schaetze mal bei JOSM sieht es aehnlich aus. Dort ist die einfache Authentifizierung per cleartext username und password nach wie vor der default. Also nur wer was von OAuth weis und es aktiv einstellt kommt in den Genuss der erhoehten Sicherheit. Insofern wuerde ich auch bei JOSM vermuten das ein Grossteil der User bislang ein sehr unischere Methode verwendet haben. Insofern duerfte fuer JOSM die Einfuehrung von https fuer die API am meisten an Zugewinn bringen.

Solange diese elende Piwiki-Spyware auf openstreetmap.org eingebunden ist, dürfte sich der praktische Nutzen wohl in Grenzen handeln.
Piwiki ist per http eingebunden und dürfte damit wohl unverschlüsselt mitloggen, was Du Dir auf der Karte anschaust…

Also für mich wird sie per https eingebunden: https://piwik.openstreetmap.org/piwik.js Immerhin ist das eine Analysesoftware, die bei openstreetmap läuft. Wäre google analytics eingebunden, wäre das eine ganz andere Sache (so wie beispielsweise bei den US-zentrierten iD-Entwicklern, die die aktuellste iD-Editor-Entwicklungsversion (hXXp://openstreetmap.us/iD/master/) bereitstellen).

Hast ja recht… Hatte mich verguckt, es ist https.

Am Sachverhalt änderts leider nur wenig: https verschlüsselt die Inhalte, alle Vögelchen auf der Leitung sehen aber weiterhin welche Urls Du aufrufst.
Anhand des OSM-Url-Formats, wie bspw. https://www.openstreetmap.org/#map=11/52.4194/13.2533, lässt sich dann ohne weiteres nachvollziehen, was Du gerade anschaust…
Die Metadaten lassen grüssen…

Von daher bleibe ich dabei, https bietet in diesem Zusammenhang hauptsächlich Pseudo-Sicherheit…

Die tiles mit https zu verschlüsseln ist für mich auch nicht ganz nachvollziehbar, bei der hauptseite dagegen werden bei jedem request unter anderem auch session-cookies übertragen, welche verschlüsselt sicher besser aufgehoben sind. Ein Verschlüsseln der genauen aufrufe von den einzelnen tiles wäre technisch sicher möglich, ob sinnvoll ist aber eine andere sache.

mfg, pointhi

Sie sehen welchen Server ich kontaktiere, nict die ganze URL.

Was hinter dem “#” kommt, sähe man nicht mal wenn es unverschlüsselt wäre, das geht einfach nicht über die Leitung. Bei URLs der Form “lat=x&lon=y” sähe man es unverschlüsselt, mit https aber nicht.

Grüße, Max

Darüber liesse sich sonst ermitteln, ob du gerade z.B. die Umgebung eines Terroristen-Lagers betrachtest.

tile.openstreetmap.org unterstützt schon seit mehreren Tagen SSL :wink:

Richtig. Und das Erraten von Inhalten aufgrund der Größe sollte bei Kacheln sehr schwer sein, da alle etwa gleich groß sind. Und auch wenn man nur den weltweiten verschlüsselten Traffic erhöht oder die Nutzer ein Quäntchen für das Thema Verschlüsselung sensibilisiert, ist schon was gewonnen.

Weiter so!