Hallo Kai, Du hast dann recht, wenn du davon ausgeht, dass in 5 Jahren jemand kommt und dann plötzlich alle Daten haben will - das wird länger dauern oder die Server weitgehend lahmlegen und dann immer noch nicht verhindert - sondern höchstens erkannt worden sein.
Wenn aber jemand einfach ständig die diffs abfragt und neue changesets direkt abfragt, dann reden wir über - ganz grob gemittelt aus zwei changeset-IDs von mir selbst im Abstand einiger Monate - etwa 10 Changesets pro Minute, jede erfordert eine Abfrage der Webseite. Verteilt über 100 IPs kratzt das die API tendentiell erstmal gar nicht - und ein nennenswertes Botnetz hat mehr als 100 Knoten zur Verfügung. HTTPS hilft dagegen, dass eine dritte Fraktion die Kommunikation von mir mit der Webseite abhört - aber es hilft überhaupt nicht, wenn diese dritte Fraktion sich einen (oder 100) gültigen Useraccount zulegt und darüber direkt die Webseite abfragt, ansonsten hilft HTTPs, den OSM-API-Server zu verifizieren, nicht aber den bot/user/browser, der darauf zugreift. Mein Angriffsszenario nutzt das Botnetz nicht als DDoS-Quelle, sondern einfach zur Verschleierung des Angriffs, da jeder einzelne Bot kein auffälliges Muster zeigt. Gruß Peter Am 29.07.2013 10:34, schrieb Kai Krueger: > Peter Wendorff wrote >> Hallo Kai, >> stimmt - Pascal oder ich würden das nicht mehr so ohne weiteres >> hinkriegen, NSA, diverse Botnetzbetreiber etc., die mal eben über ein >> paar tausend IPs verfügen können, kriegen das sehr wohl hin - wieder mal >> nur die wirklich bösen Buben. > > Lange befor man den ganzen planeten hat, gehen die Server in die Knie, so > dass man wieder nicht alzu weit kommt. Auch nicht mit einem Botnetz, es sei > denn die NSA will der OSMF einen dickeren Datenbank server spenden... ;-) > Gegen das mitschneiden der Daten wuerde dann https helfen, welches imho > ohnehin sinnvoll waere, da vermutlich immer noch viel HTTP basic auth > anstelle von OAuth verwenden und somit die Passwoerter in Klartext > uebertragen. Aber das ist ein anderes Thema. > > > Peter Wendorff wrote >> Und: Warum sollte die Webseite wirklich besser zu schützen sein als die >> API? Wenn es darum geht, massenhaften Zugriff zu blocken, dann ist dies >> auf der Webseite genauso viel oder wenig sinnvoll wie auf der API, oder >> was sehe ich nicht, das du siehst? > > Nein, die Webseite ist nicht besser zu schuetzen als die API. Und bei > Einzelobjektanfragen wuerde ich desshalb auch die UID Informationen genauso > wie auf der Webseite zulassen. Der grosse Unterschied ist ob es im > planetfile enthalten ist oder nicht. > > Aber ich denke, so langsam haben wir das Thema ausdiskutiert. Die diversen > Vorschlaege liegen auf dem Tisch, genauso wie die Vor und Nachteile und die > jeweiligen Positionen. Wenn es also nicht zu konkreten Aenderungen fuehrt, > was ich eher nicht glaube, brauchen wir die mapper mit so laestigen Themen > nicht weiter zu stoeren. Bis es entweder zu spaet ist, oder es sich > hoffentlich herausgestellt hat das es nur die Sorgen ein paar paranoider > Spinner waren... ;-) > > Kai > > > > -- > View this message in context: > http://gis.19327.n5.nabble.com/Gibt-OSM-auch-Daten-uber-die-Beitragenden-heraus-tp5771392p5771822.html > Sent from the Germany mailing list archive at Nabble.com. > > _______________________________________________ > Talk-de mailing list > [email protected] > http://lists.openstreetmap.org/listinfo/talk-de > _______________________________________________ Talk-de mailing list [email protected] http://lists.openstreetmap.org/listinfo/talk-de
