Am 16.02.2014 22:59, schrieb Dirk Sohler: > Henning Scholland schrieb: >> Was wäre denn jeweils die dahinterstehende Anwendung? > > Die PHP- Python- Ruby- oder Wasauchimmer-Anwendung, die dafür sorgt, > dass beim Aufruf eine Seite generiert und an den Browser gesendet wird. > > >> Wenn der nun an jeden Tileaufruf ein &key=12345 dran hängt hilft das >> genau 0,0 mehr als die aktuelle Methode. > > Darum wird das auch in der dahinterstehenden Anwendung erledigt. Da > bekommt der Nutzer nichts von mit. Ach? Und wie kommen dann die Kacheln zum Browser des Nutzers?
Bisher kriegt der Browser von der Webanwendung auf dem Server den Befehl, Kartenkacheln von einem anderen Server (nämlich dem osm-tileserver) abzurufen und anzuzeigen. Wenn der Webserver den &key=12345 dranhängt, du sonst aber nichts änderst, dann bekommt also in Zukunft der Browser (!) den Befehl, Kacheln von einem anderen Server abzurufen, und dabei den &key=12345 zu benutzen. Ach so... stimmt, dann weiß das also der Browser, und ach so, dann weiß ich als böser Angreifer das aber auch, weil was der Browser tut, kann ich mir angucken; und ich muss damit nichtmal einen Browser im engeren Sinne benutzen; ein HTTP-Aufruf reicht. Denken wir also mal nach: Dan kriegt also der Nutzer doch was davon mit. Gruß Peter P.S.: Ja, man kann das ohne lösen, indem tatsächlich die Webseiten-Serveranwendung direkt mit dem Tileserver redet, verschlüsselt ein Sitzungstoken aushandelt, nur dieses an den Browser sendet und in der Server-Server-Kommunikation dann aushandelt, welche Kacheln wie dabei heruntergeladen werden dürfen/sollen, aber abgesehen davon, dass das nun wirklich irre aufwändig ist, funktioniert es nicht für statische Webseiten, die zwar eine Slippy-Map anzeigen, aber eben keinen serverseitigen Code ausführen; und damit gerade für die kleinen Seiten, die durchaus gewollt erlaubt sind, zum Teil unbrauchbar. > > > Grüße, > Dirk > > > > _______________________________________________ > Talk-de mailing list > Talk-de@openstreetmap.org > https://lists.openstreetmap.org/listinfo/talk-de > _______________________________________________ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de