Richtig. Und das Erraten von Inhalten aufgrund der Größe sollte bei Kacheln sehr schwer sein, da alle etwa gleich groß sind. Und auch wenn man nur den weltweiten verschlüsselten Traffic erhöht oder die Nutzer ein Quäntchen für das Thema Verschlüsselung sensibilisiert, ist schon was gewonnen.
Weiter so!
Ob einen das stoert oder nicht sei mal dahin gestellt. Aber in diversen NSA powerpoint Praesentationen wurde explicit darauf hingewiesen das google maps ein wichtige Datenquelle ist. Insofern glaubt zumindestens die NSA das in den maps Aufrufen wertvolle persoenliche Information enthalten sind.
Dennoch weit wichtiger duerfte sein endlich die Uebertragung von passwoertern im Klartext im Forum und per JOSM zu unterbinden. Denn so kann jeder klein Kriminelle im lokalen WLAN (z.B. im oeffentlichen hotspot) ohne Probleme das Passwort mitlesen. Und da nun mal viele (auch gegen die Empfehlungen) ihre Zugangsdaten wiederverwenden, kann dadurch schon ein echter Verlust entstehen und ist einfach nicht mehr Zeitgemaess.
Bei SPDY würde doch auch jeder Subrequest verschlüsselt sein. Ein Angreifer sieht also nur, dass einmalig eine Verbindung zu OSM aufgebaut wurde. Einziges Problem ist die Verteilung auf unterschiedliche Domains und Server.
Wäre interessant zu untersuchen, ungeprüft würde ich das jedenfalls nicht behaupten. Vielleicht ist die Kombination “22221, 15448, 9496, 22493, 19901, 26685, 29469, 30141, 51895, 41911, 18669, 17437, 24589, 29549, 45767, 51255, 59079, 40114” (ein Bildschirm voll verschlüsselter München-Kacheln in Zoom 15, Reihenfolge beliebig) tatsächlich recht selten. Der Aufwand, das zu ermitteln und immer aktuell zu halten wäre hoch, aber “sauteuer” oder “irrsinnig aufwändig” ist ja kein Kriterium, hab ich in den letzten Monaten gelernt.
Grüße, Max
was derstefan in seinem Post wohl sagen wollte:
Jede verschlüsselte Seite - und sei die auch völlig harmlos - erhöht bei den “Interessenten” den Aufwand, überhaupt was rauszubekommen. Sie müssen dazu auch jeden “Quatsch” entschlüsseln um das DANACH verwerfen zu können. Wobei ich OSM natürlich nicht als Quatsch einstufen möchte 
Meine Worte: Jede HTTPS-Verbindung macht deren “Arbeit” schwerer.
Daher warte ich auf HTTPS auch bei dem Foren-Server.
Gruss
walter
Der einzige Grund, der gegen HTTPS spricht, ist, dass es rechenaufwändiger ist. Bei halbwegs modernen Prozessoren wird allerdings der Löwenanteil davon in Hardware gemacht, so dass man es in der Regel nicht merkt (und da spreche ich durchaus aus Erfahrung). Ich denke, in den meisten Fällen ist es einfach Träg- und Faulheit, die die Einführung behindert, oder eben die Kosten für ein gutes Zertifikat. Ich verstehe nicht, warum sich immer noch so viele Anbieter vor Verschlüsselung ziemen 
Gruß
Ich betreibe ja auch meine eigenen Seiten und diese auf eigener Hardware. Technisch kein Problem auf HTTPS umzusteigen (ok, ein wenig Erfahrung fehlt da noch bei mir). Nur hab ich noch keine Zeit gefunden, ein günstiges aber gleichwohl von allen Browsern akzeptiertes Zertifikat zu bekommen.
Mal sehen, das Jahr ist noch lang (und die NSA ist immer -noch- dabei)
Gruss
walter
Ich zahle für meine Zertifikate 1,99€ pro Monat. Das finde ich gerade noch so erträglich. Ob das günstig ist, kann ich nicht sagen.
Wo? Edit: Also bei bei welchem Anbieter? Und wird das auch in allen Browsern unterstützt?
glaub schon. ich zahle 1€/Monat für Domain, 5€/Monat für IP4->IP6-Tunnel und 1€/Tag für Strom, da fallen die 2€ mehr wohl auch nicht ins Gewicht.
Wo?
Gruss
walter
Ich weiß nicht, ob ich das posten darf, oder ob sich dann jemand beschwert, dass es Werbung ist. Zumal ich zufällig auch noch beim Anbieter arbeite 
Sehr richtig. Ein unterschriebenes Zertifikat kostet leider Geld. Auf unserem Server kommt deshalb vorerst ein selbstsigniertes Zertifikat zum Einsatz. (Diskussion)
Die NSA & Co. werden niemals damit aufhören, weil: es geht. Aber wir können es ihnen richtig schön teuer machen.
Noch ein anderer Punkt: Wie seht ihr das? Soll ein Server automatisch auf https umleiten? Oder nimmt man damit dem Nutzer die Entscheidungsfreiheit?
Ich plädiere eigentlich für eine Zwangsumleitung, sofern das Zertifikat gültig unterschrieben ist, da die Nutzer moderner Browser keinen Klick mehr benötigen und vom Verhalten keinerlei Unterschiede sehen.
edit: word order
schon mal was von PN gelesen?
auf jeden Fall! Das wollte ich schon am Anfang dieser Diskussion vorschlagen; mir fehlte nur der Fachbegriff für dieses Verfahren.
Gruss
walter
Lis Dir mal das hier durch, davon halte ich mehr als von Zwangsumleitung. Also kurz gesagt: wer HTTPS anbietet, muss, finde ich, nicht HTTP anbieten.
Hast Du scheinbar deaktiviert, ich kann Dir keine schreiben.
Ich finde, dass man einfach generell Protokoll-relative URIs nutzen sollte, sofern der Zielserver SSL unterstützt und nur bei Seiten, bei denen es sehr empfehlenswert ist (Login z.B.) einen Redirect setzen. Den Rest sollte HSTS erledigen (Danke für die Erinnerung @Nadjita).
Zum Zertifikat: Wenn man es irgendwie überprüfen kann (iirc gibt’s da irgendwas mit Signatur mithilfe eines PGP-Keys?) und man von der Zielgruppe erwartet, mit einer entsprechenden “Fehler”-Meldung umgehen zu können, (oder ausreichend Bedeutung hat um damit Druck auf CAs und Browser-Entwickler auszuüben) finde ich, dass eine Unterstützung der relativ zentralisierten CAs unnötig ist.
Hier im Forum gibt’s gar keine, und auf osm.org kann man sie nicht deaktivieren
/e: typo
Ja, aber man kann E-Mails über das Forum senden. Egal, ich nehme OSM, danke für die Idee, bin ich gar nicht drauf gekommen 
Zum selbst-unterschriebenen Zertifikat: Selbst wenn man es nicht überprüft: gegen einen Angreifer, der NUR Lauschen kann und nicht manipulieren kann, schützt es schon komplett. Außerdem, selbst im Falle des manipulierfähigen Angreifers: er weiß nicht sicher, ob du es geprüft hast. Folglich, wenn er nicht riskieren möchte aufzufliegen, muss er annehmen, dass du es geprüft hast. (Vorstehendes nimmt an, dass der Angreifer keine gefälschten, aber “gültigen” – aka Populär-CA – Zertifikate selbst ausstellen kann oder die Ausstellung bei einer CA erzwingen kann)
Ein selbstunterschriebenes kann in der bestimmten Situation von gefälschten, aber gültigen Zertifikaten gar gleich gut wie Populär-CA-Zertifikate sein: wenn man das Zertifikat ab der ersten Verbindung festnagelt (certificate pinning), so wie es bei SSH üblicherweise gemacht wird. An Populär-CA-Zertifikate zu kommen, ist zwar für uns schwierig, ist für gewisse MITM-fähige Akteure aber auch im eigentlich nicht berechtigten Fall möglich.
Immer aber gilt, dass eine wieauchimmer verschlüsselte Verbindung sicherer ist, als eine unverschlüsselte (sofern nicht die Unvorsichtigkeit beim DAU vorm Bildschirm durch übersteigerte Sicherheitsvorstellung steigt). Wo wir auch schon bei Problem wären: der vorm Bildschirm.