[Talk-de] Mapnik Administration blockt QLandkarteGT

Peter Wendorff wendorff at uni-paderborn.de
So Feb 16 14:39:16 UTC 2014


Hallo Dirk,
das ist uns und auch den Admins schon klar, dass man das umgehen kann.
Und auch, dass mutwillige Sabotage, zu der ich das zählen würde, damit
nicht ausschließen kann.

Die Pflicht zu einem gültigen UA-String hat aber nicht in erster Linie
den Hintergrund, böswillige Nutzer wie dich ;) direkt zu kriegen,
sondern gutwillige Entwickler, die zurecht erstmal davon ausgehen, dass
sie testweise und für Software, die mal eine Handvoll Kacheln braucht,
die öffentlichen osm-kacheln nutzen dürfen, darauf hinweisen zu können,
dass ihre Software eben wohl doch nicht nur eine Handvoll Kacheln zieht.

Insbesondere ist eben auch nicht ein Programm betroffen, was ähnlich zu
einem Browser genau die Kacheln herunterläd, die zur Darstellung der
Karte gebraucht werden - solange das Programm nicht verkauft wird, ist
dies eine analoge und normalerweise tolerierte Anwendung (vorausgesetzt,
die Attributierung ist korrekt).

Hier geht es aber um ein Programm, das unter anderem den Massenhaften
Download tausender Kacheln erlaubt, und genau das ist nicht mehr erlaubt.

Wenn Du persönlich wget anweist, sich als Firefox oder sonstwas
auszugeben, verstößt Du persönlich genauso gegen die Tile Usage Policy,
denn die besagt ganz eindeutig, dass ein sinnvoller, korrekter UA
gesendet werden soll, der die Identifikation der Anwendung erlaubt. Mit
gesundem Menschenverstand weißt vermutlich auch du, dass damit nicht
gemeint ist, dass sich ScrapeOSM (tm) als wget ausgeben darf, selbst
wenn es sich um ein Shellscript handelt, das wget für den eigentlichen
Download nutzt.

Da jetzt weiter zu diskutieren hilft auch nicht besonders - ganz
auszuschließen ist Missbrauch nicht, sicher; aber nur weil nicht jeder
Diebstahl aufgeklärt wird, verlangst du ja auch im Strafrecht nicht,
Diebstahl zu erlauben, oder?

Es geht nicht um die einwandfreie Identifikation eine Clients, sondern
um das Finden von möglicherweise ungünstig programmierten Anwendungen,
und wie du am Beispiel von QLandkarte merkst, scheint auch die
Weigerung, einen sinnvollen UA-String anzugeben, nicht sicher vor dem
Block zu schützen.

Du hast immer noch keine Alternative ohne Account-Pflicht (die ja, wie
wir bereits festgestellt haben, auch nicht funktioniert, solange online
ohne Account Kacheln dargestellt werden können sollen) vorgestellt. Bis
dahin brauchen wir glaub ich kaum weiterzudiskutieren.

Gruß
Peter

Am 16.02.2014 12:39, schrieb Dirk Sohler:
> Simon Poole schrieb:
>> - zu behaupten, dass eine Massnahme nicht funktionieren kann
> 
> Bitte genau lesen. Ich wies jedenfalls völlig richtig darauf hin, dass
> der User-Agent nicht dazu geeignet ist, einen zugreifenden Client
> (anders als ein Token oder besser ein Useraccount) einwandfrei zu
> identifizieren, und daher als alleiniges Erkennungsmerkmal schlicht
> ungeeignet ist.
> 
> Ich könnte wget anweisen, sich als „wget/1.15“ auszuweisen, oder aber
> auch als „Skynet/1.0“ oder als ein aktueller Firefox. In allen drei
> Fällen kann ich massenhaft scriptgesteuert Kacheln runterladen, bis die
> Leitung glüht, und im letzten Fall kann ich nicht mal gesperrt werden
> (IPs lassen sich wechseln), und alle drei Varianten ist der
> entstandene Traffic sogar ein paar Byte je Abruf größer als ohne UA.
> 
> Die Maßnahme an sich funktioniert in einem gewissen Rahmen, nur stützt
> sie sich auf etwas, das vom Konzept her von Grund auf als technisch
> komplett unverifiziert einzustufen ist.
> 
> Grüße,
> Dirk
> 
> 
> 
> _______________________________________________
> Talk-de mailing list
> Talk-de at openstreetmap.org
> https://lists.openstreetmap.org/listinfo/talk-de
> 





Mehr Informationen über die Mailingliste Talk-de