Update der OSM Software List

Communities Deutschland (Germany)
141

Danke!

142

Moin,

eine neue Version der Osm Software Watchlist ist aktiviert worden.

Änderungen:

  • Es gibt eine neue Spalte “Open Source”, die anzeigt ob der Sourcecode frei verfügbar ist und wo er ggf. zu finden ist. Zum Download einfach auf den grünen Haken klicken. Beim Fragezeichen bin ich mir nicht sicher und bitte um Mithilfe.

  • Popup, der auf die Benutzung von Cookies hinweist.

Gruss
Walter

143

Moin,

die Version 0.9.7 der Osm Software Watchlist ist aktiviert worden.

Änderungen:

  • Es wurde ein Fehler beim Sortieren der Spalte “Open Source” beseitigt. (*)
  • Durch die Verwendung von jquery.i18n unterstützt die Seite jetzt mehrere Sprachen. (**)

Gruss
Walter

*) Es wäre nett gewesen, mir diesen Fehler zu melden. Bin erst im Logfile drüber gestolpert :frowning:

**) Der französische Text ist per deepl.de erstellt worden und könnte durchaus noch sprachliche Schnitzer enthalten. Bitte ggf. melden.

ps: Neue Daten wie immer am Samstag.

144

Funktioniert der Versioncheck aktuell? Das neuste Update von Map Composer hat die Liste nicht mitbekommen.

145

oops,

falsches Pattern :frowning:

Er sucht auf der Seite http://composer.waldpfa.de/index.php?n=MC.Download derzeit den String ‘

Die aktuelle Version von Map Composer ist V’ und den findet er natürlich immer.

Ab Morgen verwendet er das Pattern '

Die aktuelle Version von Map Composer ist V%v.", wobei %v bei der Suche durch ‘1.0.4’ ersetzt wird. Da er diesen String nicht findet, wird der Versionscheck das melden.

Sorry & Gruss
walter

ps: warum läuft deine Seite eigentlich immer noch per HTTP? Fast alle haben schon lange auf HTTPS umgestellt.

146

Weil es keinen Grund dafür gibt. Was wollte man da durch Verschlüsselung schützen?

147

naja, auch wenn der Seiteninhalt harmlos ist, erhöht jede einzelne verschlüsselte Seite die Sicherheit des Inet

Mozilla bietet z.B. folgendes an: https://www.bleepingcomputer.com/news/software/mozilla-firefox-gets-a-https-only-mode-for-more-secure-browsing/
d.h bei Aktivierung durch sicherheitsensible Anwender werden unverschlüsselte Seiten abgewiesen.

Ich gehe davon aus, dass in einiger Zeit diese derzeit optionale Funktionalität defaultmäßig aktiviert sein wird. Und irgendwann wird nur noch HTTPS gehen.

Gruss
walter

148

Diese Aussage erscheint mir nicht logisch nachvollziehbar. Ohne Sicherheitsbedarf kann man die Sicherheit auch nicht erhöhen.

Das erscheint mir ungefähr so wie um einen öffentlichen Park einen Stacheldrahtzaun zu bauen, weil das die Sicherheit in der Stadt irgendwie erhöht.

Abgesehen davon:

  • https verursacht Arbeit für Besorgen, Installieren und regelmäßiges Update der Zertifikate oder Kosten wenn es der Provider erledigt
  • es verlangsamt die Verbindung spürbar, insbesondere Optimierungen durch mehrere parallele Verbindungen verkehren sich ins Gegenteil, weil die Schlüssel mehrfach augehandelt werden. Deshalb liefert mein Kartenserver die Kartenkacheln sowohl per https für die Websites die das erzwingen (was genau kann man an freien, öffentlichen Kartentiles durch Verschlüsselung nochmal sichern?) und per http was 2-3 mal schneller aufbaut.
149

Auslöser waren die Enthüllungen von E. Snowden bzgl. der Möglichkeiten und Aktivitäten der NSA in den USA. Als Schlussfolgerung daraus wird vorgeschlagen, jede elektronische Kommunikation zu verschlüsseln, um die Hürden einer Belauschung möglichst hoch zu machen.

Gute Provider haben das im Basispaket drin. So wie “mein” Hoster https://heliohost.org. (*)

Klaro, alles hat seinen Preis.

Und wie ich schon klarstellte,werden langfristig die Browser “entscheiden”, was noch toleriert werden wird.

Gruss
walter

*) Ich habe heliohost.org deshalb ausgewählt, da das Basispaket kostenfrei ist und u.a. Java ("richtiges Java, Javascript kann jeder) und Postgresql beinhaltet. Kosten- und wartungsfreies SSL war ein gutes Addon.

150

Man schützt den Anwender z.B. vor Man-in-the-Middle-Angriffe: https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff

151

Die Daten selbst mögen frei, öffentlich und nicht relevant sein. Die Abfragen aber sehr wohl, und zudem höchst-persönlich.

Ist die Verbindung verschlüsselt, können Dritte nicht sehen für welche Orte die Kartentiles abgefragt wurden. Es liegt nahe, dass der Ort für den die Kartentiles heruntergeladen werden, insbesondere wenn dies von einem Smartphone aus getätigt wurde, der Ort ist an dem sich der Nutzer gerade befindet.

Es sollte auch relativ einfach sein, durch Analyse der Patterns in denen die Tiles heruntergeladen werden, herauszufinden um welche Art der Aktivität es sich handelt. Eine per Machine Learning trainierte KI sollte diese Patterns recht einfach erkennen können, allein schon weil sich die gleichzeitigen Abfragen die für Tiles getätigt werden bei Desktop und Smartphones aufgrund der Bildschirmgröße unterscheiden.

Insgesamt können Dritte also folgende Daten über die Nutzer von unverschlüsselten Tileservern herausfinden:

  • (auch wenn verschlüsselt, aber weniger gut:) Bildschirmgröße, also ob mobil oder nicht
  • Ort
  • Bewegungsrichtung und Geschwindigkeit
  • ergo: Bewegungshistorie
  • gepaart mit Straßendaten kann eine noch genauere Position geschätzt werden
  • durch Abgleich mit identifizierenden unverschlüsselten Header-Daten (Browser-Version, Betriebssystem, Accept-Language Headern usw.) sowie welche Abfragen der Nutzer mit dieser IP noch so macht (verschlüsselt oder unverschlüsselt) kann versucht werden, die Abfragen zeitlich getrennter Sessions (fuzzy) zu einem Bewegungsprofil zu vereinen. Wenn jemand eine Navigations-App nutzt, haben nämlich (fast) alle seine Bewegungen den gleichen Start oder Endpunkt (Arbeitsplatz oder Heim)
  • ergo: bei Vielnutzung ggf. wo der Nutzer wohnt, wo er arbeitet, wo er sonst so regelmäßig hinfährt oder geht
  • daraus kann man ggf. direkt die Identität des Nutzers bestimmen, aber wahrscheinlich nicht automatisch, zumindest nicht für nicht-staatliche Angreifer ohne Zugriff auf Melderegister

Dass (unverschlüsselter) Internet-Traffic an Knotenpunkten des Internets abgeschnorchelt wird, ist ja schon lange kein Geheimnis / Verschwörungstheorie mehr sondern gängige Praxis. Dies sind (zumeist?) staatliche Stellen/Geheimdienste, aber da diese Daten sehr wertvoll sind, ist natürlich auch das Interesse da irgendwie anderweitig heranzukommen groß.

152

Mit Lets Encrypt geht es AFAIK kostenlos und automatisch: https://letsencrypt.org/de/

Ein naher Zukunft werden alle Browser keine http Seite mehr anzeigen, zu Beginn wird man das sicherlich durch einen zusätzlich Klick umgehen können, aber sicher nicht für immer.

153

Und was soll der Man-in-the-middle angreifen?

154

Hi,

folgende Software wurde der Osm Software Watchlist hinzugefuegt (A) bzw. eine neue Version ist erschienen:

Gruss
walter

155
  • snip -
156

Hi,

folgende Software wurde der Osm Software Watchlist hinzugefuegt (A) bzw. eine neue Version ist erschienen:

Gruss
walter

ps: Tipps für neue Software sind herzlich willkommen.

157

zwei kleine Programme als Ergänzung
Osmconvert → https://wiki.openstreetmap.org/wiki/DE:Osmconvert
Osmupdate → https://wiki.openstreetmap.org/wiki/DE:Osmupdate

Diese zwei Sachen benutze ich um meinen OSM Ausschnitt aktuell zu halten und daraus eine kleine Garmin Karte zu bauen.

158

Sollten nächste Woche drin sein.
danke und Gruss

walter

159

Noch etwas neues: https://www.navit-project.org/index.html
Version 0.5.5 ist aktuell.
https://www.navit-project.org/index.html#download

160

Tnx,

werd ich mir mal anschauen.

Gruss
walter