Peter Wendorff schrieb: > Also kannst Du Anwendung und Browser voneinander unterscheiden?
Mittels anwendungsspezifischem Token, der aufgrund der API nur durch entsprechende Header übermittelt werden kann eher, als über einen simplen String, in den jeder reinschreiben kann, was er will. > Abgesehen davon: Was ist ein Browser, was eine Anwendung? Stelle dich doch bitte nicht bitte dümmer, als du bist. Hier: Browser = Das Ding, mit dem du im WWW (!= „das Internet“) Seiten aufrufen kannst, und eben auch die OSM-Seite; und Anwendung: Spezielles Programm, das zum Abruf der OSM-Kacheln über die OSM-API verwendet wird, ohne darüber hinaus andere Dienste im Internet (vgl. WWW) nutzen zu können. > Ist [beliebige Anwendung] ein Browser, wenn sie Links verfolgt? In dem hier verwendeten Zusammenhang ist eine Anwendung dann ein Browser, wenn sie die WWW-Seite benutzt. Wenn sie die API benutzt, nein. Aber da du nur provozieren willst, brauche ich dir das sicher nicht zu erklären, da du es bereits weißt. > Inwiefern würde eine solche Lösung das Verfahren einfacher, > fälschungssicherer, sinnvoller oder sonst irgendwie erstrebenswerter > machen? Die Vorteile eines anwendungsspezifischen Tokens sind, sofern der Token geheim bleibt (Closed-Source oder sonstwie verschlüsselt, und nicht einfach so durch andere Nutzbar, oder über Sniffer aus den übertragenen Datenpaketen auslesbar), dass die Anwendung zuverlässig identifiziert werden kann. Die Vorteile eines „Accountzwangs“ bei einer Anwendung (vgl. Definition weiter oben) ist, dass man eindeutig einen Useraccount identifizieren kann, und man diesen Gezielt sperren kann. Natürlich kann ein Anwender sich einfach einen neuen Account anlegen, aber ein Entwickler kann auch seiner Anwendung den Firefox-UA-String verpassen. Aber mal andersherum gefragt: Inwiefern ist alleinig die Auswertung eines simplen Strings fälschungssicher? Was hindert einen Entwickler, der alle Tiles runterladen will eher daran, das technisch umzusetzen? Ein beliebig änderbarer String, eine App-Registrierung um einen Token zu bekommen, oder die Notwendigkeit eines Useraccounts? Grüße, Dirk -- Local time :: Ortszeit :: DE-HH 2014-02-16T15:01:31+0100
signature.asc
Description: PGP signature
_______________________________________________ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de