[Talk-de] Gibt OSM auch Daten über die Beitragenden heraus?

Peter Wendorff wendorff at uni-paderborn.de
Mo Jul 29 09:26:43 UTC 2013


Hallo Kai,
Du hast dann recht, wenn du davon ausgeht, dass in 5 Jahren jemand kommt
und dann plötzlich alle Daten haben will - das wird länger dauern oder
die Server weitgehend lahmlegen und dann immer noch nicht verhindert -
sondern höchstens erkannt worden sein.

Wenn aber jemand einfach ständig die diffs abfragt und neue changesets
direkt abfragt, dann reden wir über - ganz grob gemittelt aus zwei
changeset-IDs von mir selbst im Abstand einiger Monate - etwa 10
Changesets pro Minute, jede erfordert eine Abfrage der Webseite.
Verteilt über 100 IPs kratzt das die API tendentiell erstmal gar nicht -
und ein nennenswertes Botnetz hat mehr als 100 Knoten zur Verfügung.

HTTPS hilft dagegen, dass eine dritte Fraktion die Kommunikation von mir
mit der Webseite abhört - aber es hilft überhaupt nicht, wenn diese
dritte Fraktion sich einen (oder 100) gültigen Useraccount zulegt und
darüber direkt die Webseite abfragt, ansonsten hilft HTTPs, den
OSM-API-Server zu verifizieren, nicht aber den bot/user/browser, der
darauf zugreift.

Mein Angriffsszenario nutzt das Botnetz nicht als DDoS-Quelle, sondern
einfach zur Verschleierung des Angriffs, da jeder einzelne Bot kein
auffälliges Muster zeigt.

Gruß
Peter

Am 29.07.2013 10:34, schrieb Kai Krueger:
> Peter Wendorff wrote
>> Hallo Kai,
>> stimmt - Pascal oder ich würden das nicht mehr so ohne weiteres
>> hinkriegen, NSA, diverse Botnetzbetreiber etc., die mal eben über ein
>> paar tausend IPs verfügen können, kriegen das sehr wohl hin - wieder mal
>> nur die wirklich bösen Buben.
> 
> Lange befor man den ganzen planeten hat, gehen die Server in die Knie, so
> dass man wieder nicht alzu weit kommt. Auch nicht mit einem Botnetz, es sei
> denn die NSA will der OSMF einen dickeren Datenbank server spenden... ;-)
> Gegen das mitschneiden der Daten wuerde dann https helfen, welches imho
> ohnehin sinnvoll waere, da vermutlich immer noch viel HTTP basic auth
> anstelle von OAuth verwenden und somit die Passwoerter in Klartext
> uebertragen. Aber das ist ein anderes Thema. 
> 
> 
> Peter Wendorff wrote
>> Und: Warum sollte die Webseite wirklich besser zu schützen sein als die
>> API? Wenn es darum geht, massenhaften Zugriff zu blocken, dann ist dies
>> auf der Webseite genauso viel oder wenig sinnvoll wie auf der API, oder
>> was sehe ich nicht, das du siehst?
> 
> Nein, die Webseite ist nicht besser zu schuetzen als die API. Und bei
> Einzelobjektanfragen wuerde ich desshalb auch die UID Informationen genauso
> wie auf der Webseite zulassen. Der grosse Unterschied ist ob es im
> planetfile enthalten ist oder nicht.
> 
> Aber ich denke, so langsam haben wir das Thema ausdiskutiert. Die diversen
> Vorschlaege liegen auf dem Tisch, genauso wie die Vor und Nachteile und die
> jeweiligen Positionen. Wenn es also nicht zu konkreten Aenderungen fuehrt,
> was ich eher nicht glaube, brauchen wir die mapper mit so laestigen Themen
> nicht weiter zu stoeren. Bis es entweder zu spaet ist, oder es sich
> hoffentlich herausgestellt hat das es nur die Sorgen ein paar paranoider
> Spinner waren... ;-)
> 
> Kai
> 
> 
> 
> --
> View this message in context: http://gis.19327.n5.nabble.com/Gibt-OSM-auch-Daten-uber-die-Beitragenden-heraus-tp5771392p5771822.html
> Sent from the Germany mailing list archive at Nabble.com.
> 
> _______________________________________________
> Talk-de mailing list
> Talk-de at openstreetmap.org
> http://lists.openstreetmap.org/listinfo/talk-de
> 





Mehr Informationen über die Mailingliste Talk-de