<p>Okay, I will send this to LWG.</p>
<blockquote>
<p>for example I don't think we allow users to control what permissions they grant do we? They have to either accept or reject whatever the application asks for?</p>
</blockquote>
<p>No, we are better than that. Try <a href="http://level0.osmz.ru/index.php">Level0</a> for example: when logging in, you have a choice to uncheck "read user prefs". After that your name won't be displayed in the header, but the editor would still be operational.</p>
<p>Also the permissions list is pretty prominent with few words, so users I assume are reading it. I definitely do, every time.</p>
<p>Our API provides some information about users, including an avatar, number of edits and messages and some more. Other sites can (and do) already authenticate against our database, and this change would provide them with a verified e-mail address, so they don't have to implement such verification. Again, if facebook, google, wikipedia, github, twitter and many others do that, I don't see a reason why we should not. Especially when users know what they are subscribing to.</p>
<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/pull/1431#issuecomment-278585594">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/ABWnLbsBSg-bE2WZx-C_KfOS3KPfZ95Sks5ratd9gaJpZM4L7ara">mute the thread</a>.<img alt="" height="1" src="https://github.com/notifications/beacon/ABWnLYTwcs4Rcg9K5X4GmXumOQeFOjnmks5ratd9gaJpZM4L7ara.gif" width="1" /></p>
<div itemscope itemtype="http://schema.org/EmailMessage">
<div itemprop="action" itemscope itemtype="http://schema.org/ViewAction">
  <link itemprop="url" href="https://github.com/openstreetmap/openstreetmap-website/pull/1431#issuecomment-278585594"></link>
  <meta itemprop="name" content="View Pull Request"></meta>
</div>
<meta itemprop="description" content="View this Pull Request on GitHub"></meta>
</div>
<script type="application/json" data-scope="inboxmarkup">{"api_version":"1.0","publisher":{"api_key":"05dde50f1d1a384dd78767c55493e4bb","name":"GitHub"},"entity":{"external_key":"github/openstreetmap/openstreetmap-website","title":"openstreetmap/openstreetmap-website","subtitle":"GitHub repository","main_image_url":"https://cloud.githubusercontent.com/assets/143418/17495839/a5054eac-5d88-11e6-95fc-7290892c7bb5.png","avatar_image_url":"https://cloud.githubusercontent.com/assets/143418/15842166/7c72db34-2c0b-11e6-9aed-b52498112777.png","action":{"name":"Open in GitHub","url":"https://github.com/openstreetmap/openstreetmap-website"}},"updates":{"snippets":[{"icon":"PERSON","message":"@Zverik in #1431: Okay, I will send this to LWG.\r\n\r\n\u003e for example I don't think we allow users to control what permissions they grant do we? They have to either accept or reject whatever the application asks for?\r\n\r\nNo, we are better than that. Try [Level0](http://level0.osmz.ru/index.php) for example: when logging in, you have a choice to uncheck \"read user prefs\". After that your name won't be displayed in the header, but the editor would still be operational.\r\n\r\nAlso the permissions list is pretty prominent with few words, so users I assume are reading it. I definitely do, every time.\r\n\r\nOur API provides some information about users, including an avatar, number of edits and messages and some more. Other sites can (and do) already authenticate against our database, and this change would provide them with a verified e-mail address, so they don't have to implement such verification. Again, if facebook, google, wikipedia, github, twitter and many others do that, I don't see a reason why we should not. Especially when users know what they are subscribing to."}],"action":{"name":"View Pull Request","url":"https://github.com/openstreetmap/openstreetmap-website/pull/1431#issuecomment-278585594"}}}</script>