[Talk-de] JOSM - Anmeldung

Steffen Wolf stw at gmx.de
Mi Mär 9 03:07:03 UTC 2016


Hi Markus,

Gertrud Simson schrieb:

>> Weil bei der Basislegitimierung das Passwort im Klartext gesendet wird,
>> wurde mit Version 9900

> Wenn das PW nun endlich nicht mehr im Klartext gesendet wird,
> ist das ein lang ersehnter wesentlicher Erfolg.

Das OAuth-Verfahren wurde bei OpenStreetMap so um 2009 umgesetzt. Das
ist nur 5 Jahre nach der Gruendung ;-)

>> OAuth als Standard gesetzt.

> Wenn man beim Anmeldeprozess etwas Grundlegend ändert,
> sollte man das den Benutzern verständlich erklären (was, wie, warum)
> Und den Langjährigen schon im Vorfeld, damit sie Dritten helfen können.

Das einfachste waere, die Wiki-Seite zu OAuth zu uebersetzen. Die
Niederlaender haben das schon geschafft, und die Chinesen haben einfach
den englischen Text uebernommen.

> Ich habe keine Ahnung, wer oder was OAuth ist,
> und was das wie mit OSM zu tun hat...

Du hattest doch geschrieben, dass du gegoogelt haettest? Hier auf
talk-de war das 2013 schon einmal ein Thema:

 https://lists.openstreetmap.org/pipermail/talk-de/2013-August/104001.html

In Kuerze: OAuth ist ein Mechanismus, um Software- oder
Applikationsanbietern (JOSM) zu ermoeglichen, den Nutzer gegenueber
einem Dienst (OSM) zu authentifizieren, ohne ein Passwort uebertragen
oder auch nur wissen zu muessen. Genau genommen arbeitet es andersherum,
indem naemlich der Nutzer die Software oder die Applikation einmal beim
Dienst freischaltet, sie damit also autorisiert. Die Software erhaelt
einen Token, mit dem die spaetere Authentifizierung gegenueber dem
Dienst erfolgt.

Bei OpenStreetMap gab es immer schon Bedenken wegen der normalerweise
unverschluesselten Passwortuebertragung in der API. Deshalb wurde 2009
angefangen, einen eigenen OAuth-Server aufzusetzen. JOSM hat die
Unterstuetzung dann 2010 implementiert. Und 2016 hat JOSM die Methode
als Standard eingestellt, und damit leider einige Fehler
heraufbeschworen.

Du schriebst weiterhin:

> Wenn ich auf "OAuth autorisieren" klicke, erscheint ein Formular, in
> dem meine OSM-Daten eingetragen sind. Es gibt einen Link "Weitere
> Informationen" und "Hilfe", aber beide führen auf eine ausländische
> Seite ohne Zusammenhang mit OSM und ohne Impressum...

Die auslaendische Seite wird oauth.net sein, und die Entwickler von
OAuth haben in der Tat keinen Bezug zu OSM. Aber die eigentliche
Formularseite muesste auf www.openstreetmap.org/oauth/ liegen. Das ist
nun eindeutig eine OSM-Seite. Oder ist das alles noch ein Java-Dialog?


> Wir brauchen möglichst schnell eine Zwischenversion für diesen Bug.

> Wann kommt die raus?

Die kam am 2.3.2016 raus, wenn ich das Changelog richtig interpretiere.
Allerdings ist sie nicht als tested verlinkt, sondern als neueste
Version fuer Experimentierfreudige:
 http://josm.openstreetmap.de/josm-latest.jar

Und fuer die Versionen zwischen 9000 und 9013 gibt es den Hinweis,
einfach die OAuth-Nutzung zu deaktivieren, und den alten Weg mit
Passwort zu gehen.


Ehrlich gesagt, mir war das damals auch zu bloed mit OAuth, ich hab
weiterhin die Passwort-Methode verwendet. Und ich werde mich auch
aergern, wenn meine JOSM-Installation sich auf einmal selbst ueberlegt,
die Authentifizierungsmethode zu aendern.

Gruss,
 stw1701
-- 
Karl Marx gave the proletariat eleven zeppelins, yo.
 [xkcd 992]




Mehr Informationen über die Mailingliste Talk-de