[talk-ch] 3rd-Party-Cookies auf umap.osm.ch (Re: uMap und so, , , , )

michael spreng mailinglist at osm.datendelphin.net
Sat Oct 12 13:25:12 CEST 2019


Hallo Andreas

Das Problem sind die Beispielkarten, die auf der Einstiegsseite
eingebunden sind. Jede Karte kann auch externe Daten beinhalten, und
jede externe Datenquelle kann potentiell Cookies setzen.

Im aktuellen Fall ist die Karte
https://umap.osm.ch/en/map/unbenannte-karte_2431 auf der Frontseite, und
nutzt als externe Datenquelle
http://location.skuettel.ch/Geojson/Anleger.geojson

Aber: Zumindest in meinem Fall setzt skuettel.ch gar kein cookie. Bei
mir werden nicht mal die Daten geladen, wegen "mixed content".
umap.osm.ch ist https, aber die externe Datenquelle ist es nicht.

Externe Daten einzubinden ist quasi Konzept von umap, was
zugegebenermassen viele Sicherheitsprobleme mit sich bringt. Das ganze
sicherer (und strenger privat) zu machen wäre möglich, ist aber mit
erheblichem Aufwand verbunden. Und sollte vermutlich direkt im umap
Projekt besprochen werden.

Für mich bleibt vor allem die Frage, ob die liste der neusten Karten von
der umap Einstiegsseite verbannt werden sollte. Jeder beliebige kann
eine Karte mit externen Daten erstellen, und damit für kurze Zeit
tracken, wer die Einstiegsseite besucht.
Auf die andere Seite ist es interessant und inspirierend zu sehen, was
aktuell für offene umap Karten gebastelt werden.

Grüsse
Michael

On 11/10/2019 16:15, Andreas Bürki wrote:
> Salut Raphael
> 
> Am 11.10.2019 um 09:22 schrieb Raphael Das Gupta (das-g):
>> Hallo Andreas
>>
>> On 11.10.19 02:06, Andreas Bürki wrote:
>>> Wieso will
>>>
>>>
>>> skuettel.ch
>>>
>>>
>>> mir ein Cookie setzen auf
>>>
>>> https://umap.osm.ch  ?????
>>
>> Ich kann bei mir kein solches Cookie sehen. Die beiden einzigen Cookies,
>> die umap.osm.ch bei mir zu verwenden scheint, sind das CSRF-Token und,
>> wenn ich eingeloggt bin, die Session-ID, beide direkt von Site
>> "umap.osm.ch" gesetzt.
>>
>> Wird dir das skuettel.ch-Cookie bei Ansicht einer bestimmten uMap-Karte
>> gesetzt / abgefragt?
> 
> Gefragt wird es bereits beim Aufruf von
> 
> https://umap.osm.ch
> 
> also der Website. Ob es von einer bestimmten, auf der Website
> angezeigten Beispiel-Karte herrührt, konnte ich nicht feststellen.
> 
>>
>>> Wenn ich mich richtig erinnere, ist dies das erste Mal
>>> (Ausnahme:transifex.com), dass ich ein fremdes Cookie, also nicht osm.ch
>>> oder sosm.ch sehe...
>>>
>>> Zudem ist sosm.ch nicht erreichbar....
>>>
>>> Ich dachte, es bestünde so was wie common sense, dass, wenn nicht
>>> technisch unbedingt nötig, keine fremden Cookies gesetzt werden auf
>>> osm.ch oder sosm.ch. - Aber vielleicht war das auch nur so was wie ein
>>> feuchter Traum, dass hier ein was wie eine Datensammel-Freie-Zone ist:-(
>>
>> Benutzer können in ihre uMap-Karten Daten und Inhalte von
>> Dritt-Anbietern einbinden.
> 
> 
> Das ist mir bekannt, aber wie beschrieben, trat das Ereignis bereits
> beim Aufruf der Website auf
> 
> 
> Zumindest Hintergrund-Karten-Kacheln (bei
>> anderen Daten- und Inhalts-Arten weiss ich es nicht) werden dabei wohl
>> nicht von uMap geproxied, sondern direkt im Browser des Betrachters vom
>> Dritt-Anbieter geladen, so dass diese Dritt-Anbieter so evtl. Cookies
>> setzen können, wenn man die entsprechende Karte anzeigt.
>>
>> Ob das hier auch der Fall ist, weiss ich nicht.
> 
> 
> Danke für dein Feedback
> 
> Ich wollte einfach den Vorfall erwähnt haben, vielleicht findet sich ja
> noch die Ursache.
> 
> 
> cheeers, h.
> 
> 
>>
>> Grüsse,
>> Raphael
>>
>> _______________________________________________
>> talk-ch mailing list
>> talk-ch at openstreetmap.ch
>> http://lists.openstreetmap.ch/mailman/listinfo/talk-ch
> 


More information about the talk-ch mailing list