OpenStreetMap

Maproulette vs SSL vs Privatsphäre

Posted by MKnight on 25 January 2017 in German (Deutsch)

Ich bin Sicherheitstechnisch nicht allzu tief in der Materie, aber, ääh, der Reihe nach:

  • Maproulette bietet kein SSL (https) an.
  • Maproulette funktioniert nur mit "login" via OSM
  • der Link über die Anmeldung läuft via unverschlüsselte Version von OSM

Ich weiss nicht, wie das genau über diese Auth-Api-Wasauchimmer-geschichte so läuft, aber mir scheint, dass ich (bzw die) da meinen OSM-Login unverschlüsselt durchs Web tragen lasse(n).

Man korrigiere mich bitte, wenn ich falsch liege!

Paranoiden Zeitgenossen wie meinereiner empfehle ich: nach dem Klick auf "sign in" die OSM-Adresse nach https zu korrigieren. Keine Ahnung, ob das sicherheitstechnisch wirklich hilft, funktioniert jedenfalls.

Was die Privatsphäre betrifft, nunja, soweit ich das als Laie sehe, ist auch die Benutzung der Webseite von Map-roulette nich ganz ohne, weil unverschlüsselt.

Das ist leider etwas knifflig zu kritisieren, da man durch die OSM-DB sowieso bis ins allerfeinste Detail trackbar ist, was auch zu diskutieren wäre [1] (Man vergleiche dazu einfach mal https://www.youtube.com/watch?v=dkFN_e9lfis (Spiegelmining/Kriesel) vs http://www.hdyc.neis-one.org/?IRGENDEINBENUTZERNAME [2])

Das heisst aber nicht, dass Maproulette entschuldigt ist. Du schickst unverschlüsselt übers Netz, welche Probleme Du behoben hast, welche übersprungen usw. Ja, das kann man auch aus der OSM-DB ableiten, aber mit erheblich mehr Aufwand.

[1] "Male nicht Dein Wohnhaus als erstes" wäre so eine Regel, die in OSM (imho) fehlt.

[2] Das ist übrigens auch wieder ein (anderes) Thema; wie bewusst sind sich die Leute, was man mit ihren Daten anstellen kann. Eher früher statt später muss sich OSM Gedanken machen, wie man DAUs schützt vor OSM-Data-Mining. Dazu muss man nicht in irgendeine Diktatur gehen, sondern sich nur 2 Minuten Gedanken machen, wie man in OSM Leute findet, die schwul sind, oder Flüchtlingsheime malen oder oder.

Klingt an den Haaren herbeigezogen, ist es aber nicht, schaut Euch einfach mal Euer Profil an.

Comment from SimonPoole on 25 January 2017 at 09:15

Bezüglich OAuth fundtioniert Maproulette auch nicht anders als alle anderen Tools (JOSM, iD usw).

Dein Login/Passwort wird dabei nicht überhaupt nicht übertragen (das ist ja der ganze Sinn von OAuth) und das einzige was man machen muss ist über eine verschlüsselte Verbindung (nicht wie in deinem 3. Punkt behauptet unverschlüsselt), der sich über ein Token sich identifizierende Applikation die nötigen Zugriffsrechte zu geben. Auch die Applikation (in diesem Fall Maproulette) hat keinen Zugriff auf dein Login/Passwort.

Das ganze ist aber orthogonal zur Frage ob Maproulette jetzt https verwenden sollte oder nicht.

Comment from MKnight on 25 January 2017 at 10:23

Ok, danke, dann nehme ich diesen Teil zurück ;)

Login to leave a comment