osm.org ssl auf Tiles

Hi,

also OSM.org bietet ja seit diesem Jahr auch eine ssl Verbindung an. in dem passenden Thread (http://forum.openstreetmap.org/viewtopic.php?pid=398772#p398772) wurde auch erwähnt dass tile.osm.org ssl anbietet. Allerdings ist mir jetz erst aufgefallen das mein FF mich warnt dass nicht alles verschlüsselt übertragen wird und dann hab ich mal über die Netzwerkanalyse geschaut (F12 bei Firefox) und gesehen dass da nichts mit https ist beim Zugriff auf die Tileserver?!

Zudem ist mir das erste mal aufgefallen, dass ja auch Tiles von Mapquest (otile.mqcdn.com) geladen werden, selbst wenn man den Standardstyle laufen hat. Wie kommt denn sowas?!
→ ach habs mir grad selbst beantwortet. Weil es ja noch diese Ansicht der anderen Styles gibt die ja auch immer den aktuellen Ausschnitt zeigen. Das heisst, Mapquest und thunderforest wissen immer welche IP sich welche Gebiete anschaut. Das sollte man sich zumindest bewusst sein.

Guter Hinweis. Und man sollte sich auch bewusst sein, dass neben Mapquest und thunderforest auch sämtliche modernen Geheimdienste wissen, welche Gebiete man auf der Karte betrachtet, da sie alle an den Leitungen sitzen und mitschnüffeln. :frowning:

Ich werde den Admins vorschlagen, das irreführende SSL auf der Hauptseite wieder abzuschaffen, sonst denkt deswegen noch irgendjemand, seine Verbindung sei abhörsicher.

Bye
Frederik

was bei richtig umgesetzten ssl ja nich mehr so schlimm wäre…

Kann das alles nicht so ganz nachvollziehen.

https://osm.org → Tiles kommen von https://?.tile.openstreetmap.org/?/?/?.png

Wenn Map Layers nicht aufgeklappt ist, wird auch nur genau dieser Tileserver abgefragt.

Solange man also nur auf der Standard Mapnik-Karte unterwegs ist und keine der anderen Karten über Map Layers anzeigt, sehe ich da kein Problem.
Unschön, dass genau dieses Verhalten so nicht wirklich vom Nutzer erwartet wird…

aje, hast doch recht, ich hab nich richtig geschaut. Ich war so abgelenkt von der mapbox-Sache dass ich nur den Link in der Auflistung beachtet hab wo nicht angezigt wird das es eigentlich https ist. Ups, aber das is ja erstmal gut :slight_smile:

Nur nich gut ist, dass das hinfällig ist sobald man die Layers aufmacht. Zwar ist die Verbindung zu mapbox noch verschlüsselt (immerhin…) aber zu thunderforest nicht. Also kann man es sich ab dem Moment dann eigentlich auch ganz sparen.

btw, kennt jmd ein plugin dass etwas deutlicher davor warnt bzw. erstmal um Erlaubnis fragt wenn von einer https-Seite aus irgendeine Abfrage getätigt wird die nicht über ssl läuft?

Mixed content… Wird da nicht in Chrome und Firefox ohne irgendwelche Plugins gewarnt?

ja wie gesagt verändert sich der Button vor der Adresszeile, merkt man nicht so wirklich und ich würd mir eine Nachfrage wünschen ob man das jetzt erlaubt (am liebsten hätt ich das bei jedem Link der auf ne externe Seite geht, aber dann würde man sich ja totklicken vor lauter nachfragen :))

Wer gemischte Übertragungen nicht mag, kann die beim Firefox auch ganz ausschalten. In der Einstellung (about:config) gibt es

  • security.mixed_content.block_active_content (Default: true). Damit kann man unverschlüsselte aktive Inhalte ausblenden. Also JavaScript per http innerhalb einer https-Seite.
  • security.mixed_content.block_display_content (Default: false). Damit kann man unverschlüsselte nicht-aktive Teile ausblenden. Bilder z.B.

Setzt man letzteres auf “true”, gibt es keine Kartenvorschau für Radfahrkarte, Verkehrskarte und Humanitarian.

Bestimmt gibts auch irgendein Plugin, das diese Einstellungen pro Webseite einstellen lässt (und diese Einstellungen dann an seine Werbepartner übermittelt…)

Generell ist meine Einstellung: Ein bisschen Verschlüsselung ist immer noch besser als gar keine Verschlüsselung. Natürlich sollte dem Nutzer bei mixed content nicht Sicherheit vorgegaukelt werden. Aber das ist Sache des Browsers. Der Firefox geht bei der Warnung vor gemischten Inhalten nicht weit genug, denn es wertet nach meiner Erfahrung keine per Javascript nachgeladenen Inhalte aus.

Mh doch, also ich weiß jetzt nicht was du als Warnung meinst, also zumindest registriert er es. Die Inhalte auf osm.org werden ja auch nachgeladen. Sobald du die Layeransicht aufmachst ändert sich das Symbol vor der Adreszeile (was natürlich nicht wirklich wahrnehmbar ist)

Leider kenn ich mich bei der FF Plugin-Erstellung nicht genügend aus. ICh denke dieses Verhalten könnte man realtiv leicht auch in eine richtige Warnung (zumindest) oder eine Berechtigungsanfrage umwandeln.

Vielleicht aber, ist ein bisschen verschlüsselt auch so wie garnicht verschlüsselt…