[Talk-de] Mapnik Administration blockt QLandkarteGT

Dirk Sohler spam at 0x7be.de
So Feb 16 14:13:37 UTC 2014 

Peter Wendorff schrieb:
> Also kannst Du Anwendung und Browser voneinander unterscheiden?

Mittels anwendungsspezifischem Token, der aufgrund der API nur durch
entsprechende Header übermittelt werden kann eher, als über einen
simplen String, in den jeder reinschreiben kann, was er will.


> Abgesehen davon: Was ist ein Browser, was eine Anwendung?

Stelle dich doch bitte nicht bitte dümmer, als du bist.

Hier: Browser = Das Ding, mit dem du im WWW (!= „das Internet“) Seiten
aufrufen kannst, und eben auch die OSM-Seite; und Anwendung: Spezielles
Programm, das zum Abruf der OSM-Kacheln über die OSM-API verwendet
wird, ohne darüber hinaus andere Dienste im Internet (vgl. WWW) nutzen
zu können.


> Ist [beliebige Anwendung] ein Browser, wenn sie Links verfolgt?

In dem hier verwendeten Zusammenhang ist eine Anwendung dann ein
Browser, wenn sie die WWW-Seite benutzt. Wenn sie die API benutzt,
nein. Aber da du nur provozieren willst, brauche ich dir das sicher
nicht zu erklären, da du es bereits weißt.


> Inwiefern würde eine solche Lösung das Verfahren einfacher,
> fälschungssicherer, sinnvoller oder sonst irgendwie erstrebenswerter
> machen?

Die Vorteile eines anwendungsspezifischen Tokens sind, sofern der Token
geheim bleibt (Closed-Source oder sonstwie verschlüsselt, und nicht
einfach so durch andere Nutzbar, oder über Sniffer aus den übertragenen
Datenpaketen auslesbar), dass die Anwendung zuverlässig identifiziert
werden kann.

Die Vorteile eines „Accountzwangs“ bei einer Anwendung (vgl. Definition
weiter oben) ist, dass man eindeutig einen Useraccount identifizieren
kann, und man diesen Gezielt sperren kann. Natürlich kann ein Anwender
sich einfach einen neuen Account anlegen, aber ein Entwickler kann auch
seiner Anwendung den Firefox-UA-String verpassen.

Aber mal andersherum gefragt: Inwiefern ist alleinig die Auswertung
eines simplen Strings fälschungssicher? Was hindert einen Entwickler,
der alle Tiles runterladen will eher daran, das technisch umzusetzen?
Ein beliebig änderbarer String, eine App-Registrierung um einen Token
zu bekommen, oder die Notwendigkeit eines Useraccounts?


Grüße,
Dirk

-- 
Local time :: Ortszeit :: DE-HH
2014-02-16T15:01:31+0100
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 836 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.openstreetmap.org/pipermail/talk-de/attachments/20140216/31c99f06/attachment.sig>

Mehr Informationen über die Mailingliste Talk-de