OpenStreetMap.org jetzt verschlüsselt

whb · 2014-02-12 00:53:03

Hallo,

gerade eben habe ich bemerkt, dass es möglich ist, verschlüsselt auf OpenStreetMap.org zu surfen und tatsächlich wurde vor wenigen Stunden TLS aktiviert:
http://blog.openstreetmap.org/2014/02/1 … r-privacy/

Find ich gut.

JOSM konnte ich noch nicht zu einer verschlüsselten Verbindung überreden.
https://api.openstreetmap.org/api/capabilities funktioniert aber zumindest im Browser schon.

Viele Grüße,
whb

Last edited by whb (2014-02-12 00:57:43)

aseerel4c26 · 2014-02-12 01:29:20

Wow, +1! Danke auch für die Nachricht hier! Warten wir mal noch auf die API.

rayquaza · 2014-02-12 01:39:04

API funktioniert auch: Ich habe hier eine Web-Anwendung, die sich die Notes holt, bei der der Teil nun auch bei einem Aufruf über HTTPS funktioniert
Nur JOSM hat wohl noch Probleme. Vielleicht mal da einen Bug melden?

/e: Normale OSM-Objekte abrufen geht auch, OAuth scheint auch zu funktionieren

Last edited by rayquaza (2014-02-12 02:08:36)

amm · 2014-02-12 07:01:47

JOSM hatte ein bug im URL parsing. Ist aber bereits gefixed worden und nun funktioniert auch JOSM mit https.

Fuer iD ist https noch deaktiviert, da es noch resource von anderen Servern laedt die kein https koennen wie taginfo. Allerdings soll auch das demnaechst umgesetzt werden. Genauso wie das Forum auch in vorbereitung ist auf SSL umgestellt zu werden.

whb · 2014-02-12 10:22:50

amm wrote:

JOSM hatte ein bug im URL parsing. Ist aber bereits gefixed worden und nun funktioniert auch JOSM mit https.

Das ging aber schnell.

Das Notes-Plugin scheint noch den gleichen Fehler zu haben:

GET https:/api.openstreetmap.org/api/0.6/notes

OAuth geht übrigens nicht über https:

INFO: POST https://api.openstreetmap.org/api/0.6/c … t/*/upload...
INFO: Authorization Required
Fehler: Error body: Couldn't authenticate you
Fehler: org.openstreetmap.josm.io.OsmApiException: ResponseCode=401, Error Body=<Couldnt authenticate you>
org.openstreetmap.josm.io.OsmApiException: ResponseCode=401, Error Body=<Couldnt authenticate you>

Viele Grüße,
whb

Last edited by whb (2014-02-12 10:40:38)

aseerel4c26 · 2014-02-12 15:25:20

Was leider nur umständlich geht, ist Remote-Control mit Firefox. "Laden von gemischten aktiven Inhalten "http://127.0.0.1:8111 ... wurde blockiert". Das Whitelisting in Firefox ist leider auch immer nur für den aktuellen Seitenaufruf (bug 873349). Und einen Aufruf https://127.0.0.1:8111 mag JOSM anscheinend nicht (nicht verwunderlich). Das Problem liegt aber, meines Erachtens bei Firefox und unzureichenden Whitelisting-Möglichkeiten.

Last edited by aseerel4c26 (2014-02-12 15:29:49)

pointhi · 2014-02-12 15:45:40

das forum funktioniert leider nicht mit https, vermutlich da der server nicht von osm gehostet ist. Es gibt ein selbstsigniertes Zertifikat, welches aber nur auf die standard-apache-seite weiterleitet. Vermutlich kommt wegen dem "bald" ein eigener forum-server (ist schon im osm wiki vorhanden: http://wiki.openstreetmap.org/wiki/Servers/clifford)

Ich hab bei Vespucci schon ein Issue gemacht damit sie https unterstützen, wie es scheint sieht der entwickler die sache aber nicht wirklich wichtig.

Vespucci has supported OAuth for a significant amount of time. There is no need to transmit passwords in the clear. Once the https API has stabilized, we will probably support it.

Bei der eingabemaske für passwörter steht sogar extra: Beachten Sie: Das Passwort wird unverschlüsselt gespeichert und übertragen!

Ich würde mal sagen dass man issues bei den verschiedenen osm-programmen aufmacht, die ein login unterstützen (falls https noch nicht unterstützt wird). Es ist jetzt nicht so, dass diese wichtige sicherheitsverbesserung von alleine an die ganzen programmierer durchdringt.

mfg, pointhi

aseerel4c26 · 2014-02-12 16:04:50

pointhi wrote:

das forum funktioniert leider nicht mit https, vermutlich …

Siehe dazu den anderen Thread: Feedback » HTTPS full support.

SimonPoole · 2014-02-12 16:21:32

pointhi wrote:

Vespucci has supported OAuth for a significant amount of time. There is no need to transmit passwords in the clear. Once the https API has stabilized, we will probably support it.
Bei der eingabemaske für passwörter steht sogar extra: Beachten Sie: Das Passwort wird unverschlüsselt gespeichert und übertragen!
Ich würde mal sagen dass man issues bei den verschiedenen osm-programmen aufmacht, die ein login unterstützen (falls https noch nicht unterstützt wird). Es ist jetzt nicht so, dass diese wichtige sicherheitsverbesserung von alleine an die ganzen programmierer durchdringt.
.........

Bei OAuth werden weder Login, noch Passwort unverschlüsselt übertragen, und dies ist auch seit längerem die Defaulteinstellung für neue Vespucci Installationen. M.a.W. du regst dich über ein Nicht-Problem auf.

pointhi · 2014-02-12 16:46:09

Bei OAuth werden weder Login, noch Passwort unverschlüsselt übertragen, und dies ist auch seit längerem die Defaulteinstellung für neue Vespucci Installationen. M.a.W. du regst dich über ein Nicht-Problem auf.

Stimmt nicht, ich hab das aktuelle vespucci 9.4, und in den OAuth berechtigungen auf meiner OSM-Seite steht nichts von Vespucci. Mein Handy ist aber erst 2 Monate alt, und so sind die Apps auch erst vor kurzem installiert worden! Unter Server einstellungen ist im Standard-url kein https, und der haken bei "OAuth erlauben" ist nicht gesetzt! Ich hab das jetzt bei mir lokal geändert, beides sollte aber standardmäßig verwendet werden. Eigentlich sollte wie bei "OSMap Tuner" nur mehr OAuth, kein username/passwort bei programmen zur bearbeitung von OSM-Daten verwendet werden.

mfg, pointhi

SimonPoole · 2014-02-12 17:07:26

pointhi wrote:

Bei OAuth werden weder Login, noch Passwort unverschlüsselt übertragen, und dies ist auch seit längerem die Defaulteinstellung für neue Vespucci Installationen. M.a.W. du regst dich über ein Nicht-Problem auf.
Stimmt nicht ...

Doch, ausser du hast zuerst eine uralt Version installiert (aus Gründen der Rückwärtskompatibiltät übernimmt Vespucci Settings die schon vorhanden sind) oder sonst was gemacht, dass du uns nicht sagst. Siehe auch http://code.google.com/p/osmeditor4andr … abase.java Zeile 86.

pointhi · 2014-02-12 17:40:27

stimmt, ich nutze f-droid als app-store für OSS, welcher zu dem zeitpunkt mit der version noch zurückhinkte. Ein Info-Feld wo darauf aufmerksam gemacht wird dass man unsicher arbeitet hab ich aber nie zu gesicht bekommen (erinnere mich jedenfalls nicht daran, und wenn dann hätte ich es gleich aktiviert), und so werden wohl der großteil der user die vespucci vor August 2013 installiert haben (oder bei f-droid vor 24.01.2014) noch immer mit der alten methode authentifizieren, was einfach mal ins blaue geraten >80% der nutzer sein werden.

mfg, pointhi

amm · 2014-02-12 18:51:00

pointhi wrote:

[...]so werden wohl der großteil der user die vespucci [...] noch immer mit der alten methode authentifizieren, was einfach mal ins blaue geraten >80% der nutzer sein werden.

Ich schaetze mal bei JOSM sieht es aehnlich aus. Dort ist die einfache Authentifizierung per cleartext username und password nach wie vor der default. Also nur wer was von OAuth weis und es aktiv einstellt kommt in den Genuss der erhoehten Sicherheit. Insofern wuerde ich auch bei JOSM vermuten das ein Grossteil der User bislang ein sehr unischere Methode verwendet haben. Insofern duerfte fuer JOSM die Einfuehrung von https fuer die API am meisten an Zugewinn bringen.

free_as_a_bird · 2014-02-12 22:07:50

whb wrote:

gerade eben habe ich bemerkt, dass es möglich ist, verschlüsselt auf OpenStreetMap.org zu surfen und tatsächlich wurde vor wenigen Stunden TLS aktiviert:
http://blog.openstreetmap.org/2014/02/1 … r-privacy/

Solange diese elende Piwiki-Spyware auf openstreetmap.org eingebunden ist, dürfte sich der praktische Nutzen wohl in Grenzen handeln.
Piwiki ist per http eingebunden und dürfte damit wohl unverschlüsselt mitloggen, was Du Dir auf der Karte anschaust..

aseerel4c26 · 2014-02-12 22:19:23

free_as_a_bird wrote:

Solange diese elende Piwiki-Spyware auf openstreetmap.org eingebunden ist, dürfte sich der praktische Nutzen wohl in Grenzen handeln.
Piwiki ist per http eingebunden und dürfte damit wohl unverschlüsselt mitloggen, was Du Dir auf der Karte anschaust..

Also für mich wird sie per https eingebunden: https://piwik.openstreetmap.org/piwik.js Immerhin ist das eine Analysesoftware, die bei openstreetmap läuft. Wäre google analytics eingebunden, wäre das eine ganz andere Sache (so wie beispielsweise bei den US-zentrierten iD-Entwicklern, die die aktuellste iD-Editor-Entwicklungsversion (hXXp://openstreetmap.us/iD/master/) bereitstellen).

free_as_a_bird · 2014-02-12 22:56:33

aseerel4c26 wrote:

Also für mich wird sie per https eingebunden: https://piwik.openstreetmap.org/piwik.js

Hast ja recht.. Hatte mich verguckt, es ist https.

Am Sachverhalt änderts leider nur wenig: https verschlüsselt die Inhalte, alle Vögelchen auf der Leitung sehen aber weiterhin welche Urls Du aufrufst.
Anhand des OSM-Url-Formats, wie bspw. https://www.openstreetmap.org/#map=11/52.4194/13.2533, lässt sich dann ohne weiteres nachvollziehen, was Du gerade anschaust..
Die Metadaten lassen grüssen..

Von daher bleibe ich dabei, https bietet in diesem Zusammenhang hauptsächlich Pseudo-Sicherheit..

pointhi · 2014-02-12 23:01:47

Die tiles mit https zu verschlüsseln ist für mich auch nicht ganz nachvollziehbar, bei der hauptseite dagegen werden bei jedem request unter anderem auch session-cookies übertragen, welche verschlüsselt sicher besser aufgehoben sind. Ein Verschlüsseln der genauen aufrufe von den einzelnen tiles wäre technisch sicher möglich, ob sinnvoll ist aber eine andere sache.

mfg, pointhi

maxbe · 2014-02-12 23:02:54

free_as_a_bird wrote:

alle Vögelchen auf der Leitung sehen aber weiterhin welche Urls Du aufrufst.

Sie sehen welchen Server ich kontaktiere, nict die ganze URL.

free_as_a_bird wrote:

Anhand des OSM-Url-Formats, wie bspw. https://www.openstreetmap.org/#map=11/52.4194/13.2533, lässt sich dann ohne weiteres nachvollziehen, was Du gerade anschaust..

Was hinter dem "#" kommt, sähe man nicht mal wenn es unverschlüsselt wäre, das geht einfach nicht über die Leitung. Bei URLs der Form "lat=x&lon=y" sähe man es unverschlüsselt, mit https aber nicht.

Grüße, Max

rayquaza · 2014-02-12 23:37:47

pointhi wrote:

Die tiles mit https zu verschlüsseln ist für mich auch nicht ganz nachvollziehbar

Darüber liesse sich sonst ermitteln, ob du gerade z.B. die Umgebung eines Terroristen-Lagers betrachtest.

pointhi wrote:

Ein Verschlüsseln der genauen aufrufe von den einzelnen tiles wäre technisch sicher möglich, ob sinnvoll ist aber eine andere sache.

tile.openstreetmap.org unterstützt schon seit mehreren Tagen SSL

derstefan · 2014-02-12 23:44:21

maxbe wrote:

Sie sehen welchen Server ich kontaktiere, nict die ganze URL.

Richtig. Und das Erraten von Inhalten aufgrund der Größe sollte bei Kacheln sehr schwer sein, da alle etwa gleich groß sind. Und auch wenn man nur den weltweiten verschlüsselten Traffic erhöht oder die Nutzer ein Quäntchen für das Thema Verschlüsselung sensibilisiert, ist schon was gewonnen.

Weiter so!

amm · 2014-02-13 00:33:57

pointhi wrote:

Die tiles mit https zu verschlüsseln ist für mich auch nicht ganz nachvollziehbar, bei der hauptseite dagegen werden bei jedem request unter anderem auch session-cookies übertragen, welche verschlüsselt sicher besser aufgehoben sind. Ein Verschlüsseln der genauen aufrufe von den einzelnen tiles wäre technisch sicher möglich, ob sinnvoll ist aber eine andere sache.

Ob einen das stoert oder nicht sei mal dahin gestellt. Aber in diversen NSA powerpoint Praesentationen wurde explicit darauf hingewiesen das google maps ein wichtige Datenquelle ist. Insofern glaubt zumindestens die NSA das in den maps Aufrufen wertvolle persoenliche Information enthalten sind.

Dennoch weit wichtiger duerfte sein endlich die Uebertragung von passwoertern im Klartext im Forum und per JOSM zu unterbinden. Denn so kann jeder klein Kriminelle im lokalen WLAN (z.B. im oeffentlichen hotspot) ohne Probleme das Passwort mitlesen. Und da nun mal viele (auch gegen die Empfehlungen) ihre Zugangsdaten wiederverwenden, kann dadurch schon ein echter Verlust entstehen und ist einfach nicht mehr Zeitgemaess.

SammysHP · 2014-02-13 08:17:19

Bei SPDY würde doch auch jeder Subrequest verschlüsselt sein. Ein Angreifer sieht also nur, dass einmalig eine Verbindung zu OSM aufgebaut wurde. Einziges Problem ist die Verteilung auf unterschiedliche Domains und Server.

maxbe · 2014-02-13 08:59:16

derstefan wrote:

Und das Erraten von Inhalten aufgrund der Größe sollte bei Kacheln sehr schwer sein, da alle etwa gleich groß sind.

Wäre interessant zu untersuchen, ungeprüft würde ich das jedenfalls nicht behaupten. Vielleicht ist die Kombination "22221, 15448, 9496, 22493, 19901, 26685, 29469, 30141, 51895, 41911, 18669, 17437, 24589, 29549, 45767, 51255, 59079, 40114" (ein Bildschirm voll verschlüsselter München-Kacheln in Zoom 15, Reihenfolge beliebig) tatsächlich recht selten. Der Aufwand, das zu ermitteln und immer aktuell zu halten wäre hoch, aber "sauteuer" oder "irrsinnig aufwändig" ist ja kein Kriterium, hab ich in den letzten Monaten gelernt.

Grüße, Max

wambacher · 2014-02-13 09:41:13

maxbe wrote:

Der Aufwand, das zu ermitteln und immer aktuell zu halten wäre hoch, aber "sauteuer" oder "irrsinnig aufwändig" ist ja kein Kriterium, hab ich in den letzten Monaten gelernt.

was derstefan in seinem Post wohl sagen wollte:

Jede verschlüsselte Seite - und sei die auch völlig harmlos - erhöht bei den "Interessenten" den Aufwand, überhaupt was rauszubekommen. Sie müssen dazu auch jeden "Quatsch" entschlüsseln um das DANACH verwerfen zu können. Wobei ich OSM natürlich nicht als Quatsch einstufen möchte

Meine Worte: Jede HTTPS-Verbindung macht deren "Arbeit" schwerer.

Daher warte ich auf HTTPS auch bei dem Foren-Server.

Gruss
walter

Nadjita · 2014-02-13 10:42:40

Der einzige Grund, der gegen HTTPS spricht, ist, dass es rechenaufwändiger ist. Bei halbwegs modernen Prozessoren wird allerdings der Löwenanteil davon in Hardware gemacht, so dass man es in der Regel nicht merkt (und da spreche ich durchaus aus Erfahrung). Ich denke, in den meisten Fällen ist es einfach Träg- und Faulheit, die die Einführung behindert, oder eben die Kosten für ein gutes Zertifikat. Ich verstehe nicht, warum sich immer noch so viele Anbieter vor Verschlüsselung ziemen

Gruß

- Nadjita

Announcement

#1 2014-02-12 00:53:03

OpenStreetMap.org jetzt verschlüsselt

#2 2014-02-12 01:29:20

Re: OpenStreetMap.org jetzt verschlüsselt

#3 2014-02-12 01:39:04

Re: OpenStreetMap.org jetzt verschlüsselt

#4 2014-02-12 07:01:47

Re: OpenStreetMap.org jetzt verschlüsselt

#5 2014-02-12 10:22:50

Re: OpenStreetMap.org jetzt verschlüsselt

#6 2014-02-12 15:25:20

Re: OpenStreetMap.org jetzt verschlüsselt

#7 2014-02-12 15:45:40

Re: OpenStreetMap.org jetzt verschlüsselt

#8 2014-02-12 16:04:50

Re: OpenStreetMap.org jetzt verschlüsselt

#9 2014-02-12 16:21:32

Re: OpenStreetMap.org jetzt verschlüsselt

#10 2014-02-12 16:46:09

Re: OpenStreetMap.org jetzt verschlüsselt

#11 2014-02-12 17:07:26

Re: OpenStreetMap.org jetzt verschlüsselt

#12 2014-02-12 17:40:27

Re: OpenStreetMap.org jetzt verschlüsselt

#13 2014-02-12 18:51:00

Re: OpenStreetMap.org jetzt verschlüsselt

#14 2014-02-12 22:07:50

Re: OpenStreetMap.org jetzt verschlüsselt

#15 2014-02-12 22:19:23

Re: OpenStreetMap.org jetzt verschlüsselt

#16 2014-02-12 22:56:33

Re: OpenStreetMap.org jetzt verschlüsselt

#17 2014-02-12 23:01:47

Re: OpenStreetMap.org jetzt verschlüsselt

#18 2014-02-12 23:02:54

Re: OpenStreetMap.org jetzt verschlüsselt

#19 2014-02-12 23:37:47

Re: OpenStreetMap.org jetzt verschlüsselt

#20 2014-02-12 23:44:21

Re: OpenStreetMap.org jetzt verschlüsselt

#21 2014-02-13 00:33:57

Re: OpenStreetMap.org jetzt verschlüsselt

#22 2014-02-13 08:17:19

Re: OpenStreetMap.org jetzt verschlüsselt

#23 2014-02-13 08:59:16

Re: OpenStreetMap.org jetzt verschlüsselt

#24 2014-02-13 09:41:13

Re: OpenStreetMap.org jetzt verschlüsselt

#25 2014-02-13 10:42:40

Re: OpenStreetMap.org jetzt verschlüsselt

Board footer