[Talk-de] JOSM - Anmeldung

Mi Mär 9 10:10:02 UTC 2016

Hallo Steffen,

Herzlichen Dank für Deine Erklärung :-)

Bist Du JOSM-Entwickler?
Kannst Du deine Erklärung dort in die Hilfe einbauen?
Zusammen mit weiterführenden Links auf OSM:de-Seiten?

>> Wir brauchen möglichst schnell eine Zwischenversion für diesen Bug.
> 
> Die kam am 2.3.2016 raus

Super - *bitte dringend als "Tested" veröffentlichen!*
Damit ist schon viel gewonnen - und wir verlieren weniger Mapper.

Liest Dirk Stöcker hier mit?

Mit herzlichem Gruss,
Markus

PS: (der Vollständigkeit halber)

> Das OAuth-Verfahren wurde bei OpenStreetMap so um 2009 umgesetzt. 

Dann wäre es gut, wenn es den Benutzern auch erklärt worden wäre ;-)

>>> OAuth als Standard gesetzt.
> 
>> Wenn man beim Anmeldeprozess etwas Grundlegend ändert,
>> sollte man das den Benutzern verständlich erklären (was, wie, warum)
>> Und den Langjährigen schon im Vorfeld, damit sie Dritten helfen können.
> 
> Das einfachste waere, die Wiki-Seite zu OAuth zu uebersetzen. 

Die derzeitige Wikiseite scheint sich eher an Entwickler zu wenden?
In JOSM brauchen wir eine simple *Erklärung für einfache Benutzer*.

JOSM ist genial - aber auch ziemlich komplex.
Wir müssen alles tun, um nicht schon an der Anmeldung zu scheitern.
Wir brauchen bei OSM auch den POI-mapper!

> Du hattest doch geschrieben, dass du gegoogelt haettest? 

Ja, aber nicht in die Tiefe (das macht auch der Benutzer nicht):
In Wikipedia ist von Sicheheitslücke und (nicht beherrschbarer)
Komplexität zu lesen: https://de.wikipedia.org/wiki/OAuth
Und der Rest ist meist englisch.

> In Kuerze: OAuth ist ein Mechanismus, um Software- oder
> Applikationsanbietern (JOSM) zu ermoeglichen, den Nutzer gegenueber
> einem Dienst (OSM) zu authentifizieren, ohne ein Passwort uebertragen
> oder auch nur wissen zu muessen. Genau genommen arbeitet es andersherum,
> indem naemlich der Nutzer die Software oder die Applikation einmal beim
> Dienst freischaltet, sie damit also autorisiert. Die Software erhaelt
> einen Token, mit dem die spaetere Authentifizierung gegenueber dem
> Dienst erfolgt.
> 
> Bei OpenStreetMap gab es immer schon Bedenken wegen der normalerweise
> unverschluesselten Passwortuebertragung in der API. Deshalb wurde 2009
> angefangen, einen eigenen OAuth-Server aufzusetzen. JOSM hat die
> Unterstuetzung dann 2010 implementiert. 

:-)

> Und 2016 hat JOSM die Methode als Standard eingestellt, 
> und damit leider einige Fehler heraufbeschworen.

Wie gesagt: sowas kommt vor.

>> Wenn ich auf "OAuth autorisieren" klicke, erscheint ein Formular, in
>> dem meine OSM-Daten eingetragen sind. Es gibt einen Link "Weitere
>> Informationen" und "Hilfe", aber beide führen auf eine ausländische
>> Seite ohne Zusammenhang mit OSM und ohne Impressum...
> 
> Die auslaendische Seite wird oauth.net sein, 

Ja. Und die ist englisch.

> die Entwickler von OAuth haben in der Tat keinen Bezug zu OSM. 

Umso wichtiger ist verständliche Information unsererseits.

> Formularseite muesste auf www.openstreetmap.org/oauth/ liegen. Das ist
> nun eindeutig eine OSM-Seite. Oder ist das alles noch ein Java-Dialog?

Sowas erkennt der Benutzer nicht.

> Ehrlich gesagt, mir war das damals auch zu bloed mit OAuth, ich hab
> weiterhin die Passwort-Methode verwendet. 

Genau das meine ich: wenn das Dir schon so geht, dann gibt der neue
Mapper gleich endgültig auf.
Oder - was nicht weniger schlimm ist - wir verleiten ihn dazu,
irgendetwas per Klick durchzuwinken, womit er sich Sicherheitsprobleme
einhandelt (oder einhandeln könnte).

> ich werde mich auch aergern, wenn meine JOSM-Installation sich auf 
> einmal selbst ueberlegt, die Authentifizierungsmethode zu aendern.

Ja, deshalb braucht der Benutzer verständliche Information.
Die ihm glaubhaft und nachvollziehbar versichert, dass damit alles
besser wird, bzw. wo er sich welche Risiken einhandelt.

Mit herzlichem Gruss,
Markus