JOSM sequrity warning

Ich arbeite mit JOSM latest (7235) und bekomme bei jedem Start diese Meldung

Hat jemand eine Idee, was dies mir sagen will?

josm möchte ein Zertifikat für https und die Remote-Control installieren. Diese läuft über localhost. Windows kennt das Zertifikat nicht und fragt daher nach, ob du das auch wirklich möchtest.

Ich beantworte dies mit nein, Remote-Control funktioniert aber trotzdem. Ist mir nicht ganz schlüssig.

Das kommt daher, dass seit einiger Zeit (Snowden sei Dank) auch bei OSM alle möglichen Kommunikationswege von http auf https umgestellt werden. Bei Josm war das vor ca 2 Monaten der Fall. Https bedingt ssl und ssl braucht Zertifikate.

Einmal erlauben und dann sollte Ruhe sein.

Gruss
walter

ps: noch per Http über das ungeschützte Forum beantwortet.

Rufst du openstreetmap.org unverschlüsselt auf?
Oder hast du vielleicht das Zertifikat in deinem Browser akzeptiert?

Gruß,
Mondschein

Ja, openstreetmap.org läuft bei mir unverschlüsselt. Da sehe ich kein Problem und daher keine Notwendigkeit den Strom für das kleine “s” zu verbrennen. Mit Strom meine ich sowohl den Datenstrom als auch die elektrische Energie.

Jedoch zum Test habe ich es mal gemacht: mit openstreetmap.org über https bekomme ich nur die Fehlermeldung, dass JOSM wohl nicht geladen ist:

Und dann noch einfach jeden als CA zu akzeptieren nicke ich nicht einfach so ab, auch wenn es hier um localhost geht. Daher meine Rückfrage.

Tja, ohne Zertifikat/Erlaubnis geht SSL nun man nicht. Und das ist gut so.

Gruss
walter

Ok, das erklärt es dann.

Nun, immerhin würdest du der NSA mit dem kleinen “s” die Speicherung und Auswertung der Nutzdaten ersparen, das reduziert dann auch wieder den Energieverbrauch (bei denen). :wink:

Gruß,
Mondschein

Ich habe es aber so verstanden das die NSA und Konsorten verschlüsselte Verbindungen sogar bevorzugt aufzeichnen, um sie später vielleicht entschlüsseln zu können (schließlich hat da jemand ja etwas zu “verbergen”). Deshalb wäre es ja auch mal sinnvoll eine Art Netz-Flashmob zu machen und über einen gewissen Zeitraum veschlüsselte, aber sinnlose, Datenmengen hin und her zu transferieren, damit die blöden Ausspionierer sich mal an Ihrer Datengier gehörig verschlucken. - Nein, den Terrorismus förder ich damit nicht, der interessiert beim globalen Lauschangriff eh nur am Rande.

Christian

Anlass meiner Frage war eine verschlüsselte Verbindung zwischen 2 Anwendungen, die beide auf meinem Rechner laufen. Selbst wenn Eddies ex-Kollegen alle Leitungen ausserhalb von meinem Rechner anzapfen ist hier nichts aufzuzeichnen. Wenn die sich jedoch schon in meinen Rechner gehackt haben, werden die wohl nicht die localhost-ports mitsniffen sondern Maus, Tastatur und Bildschirm direkt anzapfen.

Ich glaube, daß hier überreagiert wird. Es geht doch nur um die Ausschnitte, die ich mir in josm lade. Wo und was ich bearbeitet habe, wann ich arbeite ist doch viel interessanter und ohne weitere Hacks zugänglich: http://hdyc.neis-one.org/?trekki.

Das Problem ist, dass viele Browser das Nachladen von Elementen (hier die JOSM-Fernsteuerung) über eine unverschlüsselte Verbindung aus Sicherheitsgründen verhindern, wenn die Internetseite selbst (hier openstreetmap.org) verschlüsselt ist.
Die JOSM-Fernsteuerung funktioniert in diesem Fall also nur, wenn JOSM selbst eine verschlüsselte Verbindung mit einem Zertifikat, welchem der Browser vertraut (deswegen möchte JOSM das Zertifikat importieren), anbietet.

Es wird also nicht überreagiert, es geht in diesem Fall einfach nicht anders.

Wer will, kann auch weiterhin openstreetmap.org unverschlüsselt aufrufen, dann braucht man das Zertifikat für die JOSM-Fernsteuerung nicht zu akzeptieren.

Gruß,
Mondschein

-snip-

Das kommt ja wohl drauf an, was man wie macht: Wenn ich überhaupt OSM bearbeite ist das da sichtbar, ja. Und wenn ich was anderes mit den OSM-Daten in JOSM mache? Auch können Arbeitsdauer und -unterbrechungen (der Zeitpunkt des Uploads stimmt btw nicht immer mit dem Zeitpunkt der Fertigstellung überein) sowie die Ladereihenfolge weitere Hinweise geben, die aus den hochgeladenen Daten nicht ersichtlich sind.

P.S.: Es schreibt sich “security”.