<html><head></head><body>There's plenty of 0auth flows around the web. Basic auth should probably be disabled. <br>
Yves <br><br><div class="gmail_quote">Le 12 janvier 2018 20:51:27 GMT+01:00, Ivo Stankov <ivo@e-stankov.com> a écrit :<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<pre class="k9mail">I agree that such practices should be confronted by the OSMF.<br /><br />An OAuth 2.0 flow should be the tool of choice for such usecases.<br /><br />Best,<br />Ivo<br /><br />On 01/12/2018 02:15 PM, Darafei "Komяpa" Praliaskouski wrote:<br /><blockquote class="gmail_quote" style="margin: 0pt 0pt 1ex 0.8ex; border-left: 1px solid #729fcf; padding-left: 1ex;"> Hi,<br /> <br /> <a href="https://osmand.net/osm_live">https://osmand.net/osm_live</a> requests user's OSM password and e-mail in<br /> exchange of promise of bitcoin payment.<br /> <br /> There is no way to check that the password is not being collected, with<br /> or without knowledge of service authors. At least 1100 accounts may be<br /> affected.<br /> <br /> Simplest attack vector may be "if password matches on google drive of<br /> this e-mail and there's a backup of wallet there and password matches<br /> there too, get all the money from there".<br /> <br /> What can be done on <a href="http://osm.org">osm.org</a> <<a href="http://osm.org">http://osm.org</a>> side to mitigate it?<br /> Can password reset be forced for affected users, and for those who keep<br /> coming to that form?<br /> <br /> <br /><hr /><br /> osmf-talk mailing list<br /> osmf-talk@openstreetmap.org<br /> <a href="https://lists.openstreetmap.org/listinfo/osmf-talk">https://lists.openstreetmap.org/listinfo/osmf-talk</a><br /> <br /></blockquote><br /><hr /><br />osmf-talk mailing list<br />osmf-talk@openstreetmap.org<br /><a href="https://lists.openstreetmap.org/listinfo/osmf-talk">https://lists.openstreetmap.org/listinfo/osmf-talk</a><br /></pre></blockquote></div><br>
Yves</body></html>