Re: [Talk-de] IPv6 defekt?
Kai Krueger kakrue...@gmail.com wrote: Wenn ich mich nicht taeusche sendet JOSM immernoch als default den Username und das Password in Klartext unverschluesselt bei jedem API Aufruf ueber das Netzwerk. Sinn ergibt das Mitsenden des Passworts doch nur bei schreibenden Zugriffen und die kommen erheblich seltener vor. Ich bleibe dabei, ich finde selbst _das_ halb so wild. Wir reden hier ja gerade nicht um vertrauliche persönliche Daten sondern um Daten, bei denen selbst die Änderungshistorie öffentlich ist. Das schlimmste was passieren kann ist doch, dass jemand böse Dinge unter fremder Identität tut, weil er vorher Logindaten abgeschnorchelt hat. Wer für OSM das selbe Passwort wie für vertrauliche Dinge verwendet, dem ist ohnehin nicht zu helfen. Gruss Sven -- We don't know the OS that God uses, but the Vatican uses Linux (Sister Judith Zoebelein, Vatican Webmaster) /me is giggls@ircnet, http://sven.gegg.us/ on the Web ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] IPv6 defekt?
Am 10. Januar 2014 12:02 schrieb Sven Geggus li...@fuchsschwanzdomain.de: Das schlimmste was passieren kann ist doch, dass jemand böse Dinge unter fremder Identität tut, weil er vorher Logindaten abgeschnorchelt hat. oder er lädt sich Deine GPS-tracks, die Du als privat gekennzeichnet hast... Gruß Martin ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] IPv6 defekt?
Martin Koppenhoefer dieterdre...@gmail.com wrote: oder er lädt sich Deine GPS-tracks, die Du als privat gekennzeichnet hast... Pah, privat sind diese doch nur dann wenn sie gar nicht erst hochgeladen wurden. Gruss Sven -- Das Internet wird vor allem von Leuten genutzt, die sich Pornografie ansehen, während sie Bier trinken, es ist daher für Wahlen nicht geeignet (Jaroslaw Kaczynski) /me is giggls@ircnet, http://sven.gegg.us/ on the Web ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] IPv6 defekt?
On Fri, Jan 10, 2014 at 02:30:19PM +0100, Martin Koppenhoefer wrote: Am 10. Januar 2014 12:02 schrieb Sven Geggus li...@fuchsschwanzdomain.de: Das schlimmste was passieren kann ist doch, dass jemand böse Dinge unter fremder Identität tut, weil er vorher Logindaten abgeschnorchelt hat. Was sollte eigentlich noch Schlimmeres passieren? Böse emails unterr Deiner Identität schreiben oder Daten auf dem Server und im wiki unter Deiner Identität ändern kann schon für genug Ärger sorgen. Richard --- Name and OpenPGP keys available from pgp key servers ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] IPv6 defekt?
Richard Z. ricoz@gmail.com wrote: Was sollte eigentlich noch Schlimmeres passieren? Böse emails unterr Deiner Identität schreiben oder Daten auf dem Server und im wiki unter Deiner Identität ändern kann schon für genug Ärger sorgen. Leute jetzt aber mal ehrlich, das ist doch eine eher theoretische Gefahr. Natürlich kann man auf dem Netzwerk das Passwort mitsniffen, aber für einen Angriff auf spezifische Menschen ist doch das völlig ungeeignet, wenn man nicht gerade die NSA ist. Gruss Sven -- Remember, democracy never lasts long. It soon wastes itself, exhausts and murders itself. There never was a democracy yet that did not commit suicide. (John Quincy Adams) /me is giggls@ircnet, http://sven.gegg.us/ on the Web ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] IPv6 defekt?
Hallo, On Do, 2014-01-09 at 15:49 +, Sven Geggus wrote: fly lowfligh...@googlemail.com wrote: [...] Davon abgesehen, was soll TLS in einem Umfeld bringen, in dem es um den Abruf von Kartenkacheln unter CC-by Lizenz geht? Ich denke mal das https aus 2 Gründen erforderlich sein wird: 1.) Firefox macht es ja schon vor, indem Seiten im Mischbetrieb (https und http) mit Fehlermeldungen quittiert werden. Und die Tests werden in Zukunft tiefer und genauer werden. 2.) Jede verschlüsselte Verbindung weckt bei den entsprechenden Diensten aus ihrem Selbstverständnis heraus Begehrlichkeiten und damit den Aufwand um alles zu erfahren ins unermessliche zu steigern [...] Gruss Sven Gruß Jörg -- Jörg Frings-Fürst OSM privat D-54526 Landscheid GPG Fingerprint: 13E3 4D4A 3228 D138 8511 EA5A 08AC AF02 3C6D 750A Full GPG key: hkp://pool.sks-keyservers.net CAcert Serialnr.: 0D:9A:23 SHA1-Fingerprint: CA:36:4D:44:D1:71:4A:78:C8:6C:C2:CC:94:F3:6E:42:38:BA:CE:4E http://cacert.org ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] IPv6 defekt?
On Fri, Jan 10, 2014 at 03:51:33PM +, Sven Geggus wrote: Richard Z. ricoz@gmail.com wrote: Was sollte eigentlich noch Schlimmeres passieren? Böse emails unterr Deiner Identität schreiben oder Daten auf dem Server und im wiki unter Deiner Identität ändern kann schon für genug Ärger sorgen. Leute jetzt aber mal ehrlich, das ist doch eine eher theoretische Gefahr. Natürlich kann man auf dem Netzwerk das Passwort mitsniffen, aber für einen Angriff auf spezifische Menschen ist doch das völlig ungeeignet, wenn man nicht gerade die NSA ist. Es muß hier nicht um einen gezielten Angriff auf einen spezifischen Menschen gehen. Jemand will vielleicht Werbung ins OSM reinschmuggeln, eine Straße die für Lärmbelestigung sorgt mit einem Fahrverbot belegen, Konkurenz von der Landkarte verschwinden lassen - wenn man sich die Identität von einem bewährten Mapper ausborgt ist die Chance besser, daß es längere Zeit nicht auffällt. Und es gibt noch andere mögliche Motive, ein Witzbold will die Indisch-Pakistanische Grenze verschieben oder ganz einfach OSM schädigen. Praktische Durchführung ist trivial, die notwendigen Tools gibt es fertig konfektioniert zum Download. In weiten Teilen der Welt sind fast alle Hotspots unverschlüsselt und wer hat sich da nicht schon mal eingeloggt? Das kuriose - man braucht zwar oft ein Passwort um sich in so ein WIFI einzuloggen aber sniffen kann man ohne. Wie viele OSM Events benutzen eigentlich unverschlüsselte Hotspots und leicht anzuzapfende Ehternetkabel und Switches? Richard ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] IPv6 defekt?
Hallo, Ruben Kelevra wrote Hallo zusammen, osm.org lässt sich ja via IPv6 erreichen, jedoch ist von den Standardlayern lediglich der Humanitarian erreichbar, beim Rest bleibt die Karte grau. Wann wird das Problem gefixt? Bezieht sich das bleibt grau auf ein IPv6 only System, oder eines mit Dual Stack? Wie Simon bereits erwaehnt hat sind zwar die API server per IPv6 erreichbar, aber nicht die Tileserver. Allerdings auf einem Dual Stack System (auch DS-lite) muss der Hauptlayer korrekt auf osm.org zu sehen sein, sonst ist da irgendwo wirklich ein Fehler der dringend behoben werden muss. Bezueglich IPv6 Support der tileserver (die die die OSMF betreibt) gibt es mehrere Gruende wieso das noch nicht geht. Den eigentlichen Tileservern ist ein Content Delivery Network vorgeschaltet. Dieses besteht aus inzwischen 11 verschiedenen Hostinganbietern die ueber die Welt verstreut sind. 1) Von den 11 Standorten haben anscheinend nur 4 bislang ueberhaupt IPv6 connectivity. 2) Desweiteren unterstuetzt die verwendete Proxy Software (Squid 2.7) kein IPv6. Neuere Versionen von Squid, die IPv6 unterstuetzen, bieten jedoch einige andere Features nicht, auf die OSM derzeit zurueckgreift (wie z.B. fuer das tile throttling), sodas ein upgrade auf Squid 3 mehr Aenderungen als nur ein einfaches Software update bedeuten. 3) Fuer IPv6 gibt es bislang nicht so gute geolocation Datenbanken um Anfragen an die korrekte der 11 Hostingstandorte weiter zu leiten. Zumindestens Punkte 2 und 3 waeren durchaus loesbar, sind aber ein bisschen Aufwand um sicher zu stellen das im Produktiveinsatz nichts kaput geht und alles bisherige mindestens genauso gut weiter funktioniert wie bisher. Um mit https auf den Tileservern zu experimentieren sind seit ein paar Tagen der Squid Software noch ein non-caching nginx vorgeschaltet. Da nginx IPv6 unterstuetzt, waere es zumindestens denkbar auch dafuer das ganze ueber diese Zwischenstation laufen zu lassen. Aber mit Sachen wie tilethrottling ist auch das nicht ganz trivial. Auch wenn fuer OSM IPv6 nicht so wichtig ist, (reines http laeuft auch durch carrier grade NAT ohne Probleme), hoffe ich dennoch das ipv6 irgendwann bald komplett unterstuetzt wird. Wobei angesichts der Tatsache das zumindestens die API Server schon einmal IPv6 beherschen ist OSM immernoch deutlich weiter als die meisten anderen Webseiten. Kai -- View this message in context: http://gis.19327.n5.nabble.com/IPv6-defekt-tp5792067p5792312.html Sent from the Germany mailing list archive at Nabble.com. ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] IPv6 defekt?
On 09.01.2014 11:08, Kai Krueger wrote: Um mit https auf den Tileservern zu experimentieren sind seit ein paar Tagen der Squid Software noch ein non-caching nginx vorgeschaltet. Da nginx IPv6 unterstuetzt, waere es zumindestens denkbar auch dafuer das ganze ueber diese Zwischenstation laufen zu lassen. Aber mit Sachen wie tilethrottling ist auch das nicht ganz trivial. Schöne Neuigkeiten im neuen Jahr. Hatte schon vor Jahren nginx als Zwischenstation vorgeschlagen. Wenn nginx jetzt noch https macht und mit dem squid unverschlüsselt kommuniziert bekommen wir ja doch vielleicht mal https. Oder ist die Rechenleistung für ssl immer noch ein Problem? Grüße fly ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] IPv6 defekt?
fly lowfligh...@googlemail.com wrote: Wenn nginx jetzt noch https macht und mit dem squid unverschlüsselt kommuniziert bekommen wir ja doch vielleicht mal https. Oder ist die Rechenleistung für ssl immer noch ein Problem? Also wenn ich mir auf meinem im Vergleich zum tile.openstreetmap.org lächerlichen wenig frequentierten tile.openstreetmap.de Server die Zugriffe anschaue _ist_ das mit Sicherheit ein Problem. Davon abgesehen, was soll TLS in einem Umfeld bringen, in dem es um den Abruf von Kartenkacheln unter CC-by Lizenz geht? Natürlich könnten die NSA und böse Provider könnten die Geokoordinaten der Kacheln Deiner Person zuordnen aber mal ehrlich wenn Dir das wichtig ist, dass das niemand mitkriegt, dann rendere Deine Kacheln selbst, denn dann können auch die Admins von osm.org nicht mehr rausfinden welches Gebiet dich interessiert. Gruss Sven -- # Turn on/off security. Off is currently the default (found in MongoDB default configfile) /me is giggls@ircnet, http://sven.gegg.us/ on the Web ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] IPv6 defekt?
On 09.01.2014 16:49, Sven Geggus wrote: fly lowfligh...@googlemail.com wrote: Wenn nginx jetzt noch https macht und mit dem squid unverschlüsselt kommuniziert bekommen wir ja doch vielleicht mal https. Oder ist die Rechenleistung für ssl immer noch ein Problem? Also wenn ich mir auf meinem im Vergleich zum tile.openstreetmap.org lächerlichen wenig frequentierten tile.openstreetmap.de Server die Zugriffe anschaue _ist_ das mit Sicherheit ein Problem. Davon abgesehen, was soll TLS in einem Umfeld bringen, in dem es um den Abruf von Kartenkacheln unter CC-by Lizenz geht? Natürlich könnten die NSA und böse Provider könnten die Geokoordinaten der Kacheln Deiner Person zuordnen aber mal ehrlich wenn Dir das wichtig ist, dass das niemand mitkriegt, dann rendere Deine Kacheln selbst, denn dann können auch die Admins von osm.org nicht mehr rausfinden welches Gebiet dich interessiert. Wenn die api jetzt noch ssl könnte. fly ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] IPv6 defekt?
fly lowfligh...@googlemail.com wrote: Wenn die api jetzt noch ssl könnte. Und was genau soll das bringen wenn ohnehin jeder editieren darf und edits öffentlich sind? Also ich glaube da gibt es bei OSM viele wirkliche Probleme, die man dringender lösen müsste. Spontan würde mir da der Polygonsupport einfallen. Gruss Sven -- How to prevent Java from forking? Use a spoon. (Found on http://slashdot.org) /me is giggls@ircnet, http://sven.gegg.us/ on the Web ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] IPv6 defekt?
Hi, On 09.01.2014 16:49, Sven Geggus wrote: Davon abgesehen, was soll TLS in einem Umfeld bringen, in dem es um den Abruf von Kartenkacheln unter CC-by Lizenz geht? Naja, ist doch klar, wenn erstmal das ganze Web https ist, dann fallen die Verbindungen, die ich wirklich geheimhalten will, nicht so drin auf ;) Ausserdem wird weltweit 2% mehr CPU verbraucht und wir muessen weniger heizen. Bye Frederik -- Frederik Ramm ## eMail frede...@remote.org ## N49°00'09 E008°23'33 ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] IPv6 defekt?
On Thu, Jan 09, 2014 at 03:49:27PM +, Sven Geggus wrote: Davon abgesehen, was soll TLS in einem Umfeld bringen, in dem es um den Abruf von Kartenkacheln unter CC-by Lizenz geht? Es ist sogar von Nachteil - Viele firmen setzen für HTTP transparente proxys ein - Ohne das SSL zu zerstören (Man in the middle, Bluecoat, wildcard ssl zertifikat) geht das nicht so das https per definition schlechter fuer das caching ist. Bei der API ist mir das egal. Dort würde ich gerne SSL sehen alleine wegen der ganzen authentisierungsgeschichte. Klartext sollte getoetet werden. Flo -- Florian Lohoff f...@zz.de signature.asc Description: Digital signature ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] IPv6 defekt?
Sven Geggus wrote fly lt; lowflight66@ gt; wrote: Wenn die api jetzt noch ssl könnte. Und was genau soll das bringen wenn ohnehin jeder editieren darf und edits öffentlich sind? Wenn ich mich nicht taeusche sendet JOSM immernoch als default den Username und das Password in Klartext unverschluesselt bei jedem API Aufruf ueber das Netzwerk. JOSM beherscht zwar OAuth, aber so wie die UI gestaltet ist wuerde es mich nicht wundern wenn die Mehrheit der User das nicht verwendet. Insofern wuerde die Verwendung von https fuer die API einen deutlichen Zugewinn an Sicherheit fuer diese User bieten. Bis vor Kurzem hat auch Vespucci noch nur Basic Auth fuer die API unterstuetzt und ich wuerde mal vermuten das es auch fuer andere Editoren einfacher waere die API einfach per https zu erreichen als OAuth zu implementieren. iD und P2 sind in dieser Hinsicht JOSM deutlich ueberlegen, da die immer OAuth verwenden und das Passwort nur per https im Login auf osm.org uebertragen und schuetzt somit den durchschnittlichen User deutlich besser. Kai -- View this message in context: http://gis.19327.n5.nabble.com/IPv6-defekt-tp5792067p5792431.html Sent from the Germany mailing list archive at Nabble.com. ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] IPv6 defekt?
IMHO ist das schon immer so und liegt daran, dass die Tileproxies für den Standardstil im Augenblick IPv6 nicht unterstützen, und bei den anderen Karten dürfte es ähnlich sein. Simon Am 08.01.2014 08:04, schrieb Ruben Kelevra: Hallo zusammen, osm.org lässt sich ja via IPv6 erreichen, jedoch ist von den Standardlayern lediglich der Humanitarian erreichbar, beim Rest bleibt die Karte grau. Wann wird das Problem gefixt? LG Ruben ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
[Talk-de] IPv6 defekt?
Hallo zusammen, osm.org lässt sich ja via IPv6 erreichen, jedoch ist von den Standardlayern lediglich der Humanitarian erreichbar, beim Rest bleibt die Karte grau. Wann wird das Problem gefixt? LG Ruben ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de