<div dir="ltr">What is needed to disable HTTP Basic Auth on the API?<br><br><div class="gmail_quote"><div dir="ltr">пт, 12 янв. 2018 г. в 17:03, Andy Allan <<a href="mailto:gravitystorm@gmail.com">gravitystorm@gmail.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">In general, I'd like to disable HTTP Basic Auth to our API, and only<br>
use OAuth. This removes any need to share your OSM password with third<br>
parties. However, developers often find it easier to build<br>
integrations using basic auth, so I can imagine some opposition to<br>
this.<br>
<br>
Thanks,<br>
Andy<br>
<br>
On 12 January 2018 at 13:15, Darafei "Komяpa" Praliaskouski<br>
<<a href="mailto:me@komzpa.net" target="_blank">me@komzpa.net</a>> wrote:<br>
> Hi,<br>
><br>
> <a href="https://osmand.net/osm_live" rel="noreferrer" target="_blank">https://osmand.net/osm_live</a> requests user's OSM password and e-mail in<br>
> exchange of promise of bitcoin payment.<br>
><br>
> There is no way to check that the password is not being collected, with or<br>
> without knowledge of service authors. At least 1100 accounts may be<br>
> affected.<br>
><br>
> Simplest attack vector may be "if password matches on google drive of this<br>
> e-mail and there's a backup of wallet there and password matches there too,<br>
> get all the money from there".<br>
><br>
> What can be done on <a href="http://osm.org" rel="noreferrer" target="_blank">osm.org</a> side to mitigate it?<br>
> Can password reset be forced for affected users, and for those who keep<br>
> coming to that form?<br>
><br>
> _______________________________________________<br>
> dev mailing list<br>
> <a href="mailto:dev@openstreetmap.org" target="_blank">dev@openstreetmap.org</a><br>
> <a href="https://lists.openstreetmap.org/listinfo/dev" rel="noreferrer" target="_blank">https://lists.openstreetmap.org/listinfo/dev</a><br>
><br>
</blockquote></div></div>