[Talk-de] Mapnik Administration blockt QLandkarteGT

Peter Wendorff wendorff at uni-paderborn.de
Mo Feb 17 07:43:14 UTC 2014


Am 16.02.2014 22:59, schrieb Dirk Sohler:
> Henning Scholland schrieb:
>> Was wäre denn jeweils die dahinterstehende Anwendung?
> 
> Die PHP- Python- Ruby- oder Wasauchimmer-Anwendung, die dafür sorgt,
> dass beim Aufruf eine Seite generiert und an den Browser gesendet wird.
> 
> 
>> Wenn der nun an jeden Tileaufruf ein &key=12345 dran hängt hilft das
>> genau 0,0 mehr als die aktuelle Methode.
> 
> Darum wird das auch in der dahinterstehenden Anwendung erledigt. Da
> bekommt der Nutzer nichts von mit.
Ach?
Und wie kommen dann die Kacheln zum Browser des Nutzers?

Bisher kriegt der Browser von der Webanwendung auf dem Server den
Befehl, Kartenkacheln von einem anderen Server (nämlich dem
osm-tileserver) abzurufen und anzuzeigen.

Wenn der Webserver den &key=12345 dranhängt, du sonst aber nichts
änderst, dann bekommt also in Zukunft der Browser (!) den Befehl,
Kacheln von einem anderen Server abzurufen, und dabei den &key=12345 zu
benutzen.
Ach so... stimmt, dann weiß das also der Browser, und ach so, dann weiß
ich als böser Angreifer das aber auch, weil was der Browser tut, kann
ich mir angucken; und ich muss damit nichtmal einen Browser im engeren
Sinne benutzen; ein HTTP-Aufruf reicht.

Denken wir also mal nach: Dan kriegt also der Nutzer doch was davon mit.

Gruß
Peter

P.S.: Ja, man kann das ohne lösen,  indem tatsächlich die
Webseiten-Serveranwendung direkt mit dem Tileserver redet, verschlüsselt
ein Sitzungstoken aushandelt, nur dieses an den Browser sendet und in
der Server-Server-Kommunikation dann aushandelt, welche Kacheln wie
dabei heruntergeladen werden dürfen/sollen, aber abgesehen davon, dass
das nun wirklich irre aufwändig ist, funktioniert es nicht für statische
Webseiten, die zwar eine Slippy-Map anzeigen, aber eben keinen
serverseitigen Code ausführen; und damit gerade für die kleinen Seiten,
die durchaus gewollt erlaubt sind, zum Teil unbrauchbar.

> 
> 
> Grüße,
> Dirk
> 
> 
> 
> _______________________________________________
> Talk-de mailing list
> Talk-de at openstreetmap.org
> https://lists.openstreetmap.org/listinfo/talk-de
> 





Mehr Informationen über die Mailingliste Talk-de