Le "referer:" aussi est facile à reprendre, même pour une navigation sur un site tiers avec un navigateur normal, la requête peut être effectuée en Javascript avec les champs MIME qu'on veut (et faciles à obtenir juste avec la console réseau du navigateur). Cependant ça élimite les utilisations les plus simples avec un framework OpenLayers ou similaire non modifié.
Sans identification du client (inscription de compte, mot de passe, etc.), ou sans mise à jour régulière des clés sur le serveur web référent (qui doit avoir alors une connexion avec le fournisseur de carto tiers pour autoriser pendant un temps limité des sessions pour chaque client connnecté au serveur référent, le client devant redemander une clé au serveur référent qui la renouvellera avec le serveur tiers, ou bien le client devra ouvrir une session SSL résidente en utilisant des clés négociées par l'intermédiaire du serveur référent, sur laquelle transiteront ensuite les requêtes de tuiles en HTTPS), il n'est pas tellement possible de sécuriser cette restriction d'accès. Au mieux le fournisseur de tuiles peut comptabiliser le nombre, le volume, la fréquence des requêtes à son serveur avec la même clé, pour compliquer la vie des sites qui abuseraient de la fonction de fourniture gratuite d'imagerie sans rien contribuer au projet finançant cette fourniture de tuiles "gratuites". Ou restreindre l'usage d'une même clé à une seule IP voire quelques unes pour ceux qui ont des adresses IP dynamiques qui changent sans arrêt car ils sont connectés via un proxy tel qu'un accès Internet mobile (les accès internet mobiles ne procuent pas en général d'adresse IPv4 unique pour chaque client, le mobile est connecté avec une adresse IPv4 "locale" de type 192.168.* ou 10.* ou 172.16.* et ne communique directement qu'avec le proxy du fournisseur dans le même espace d'adresse et les sessions ont une durée de vie limitée, le client ne sait pas sur quelle adresse IPv4 publique passe sa navigation Internet car elle peut changer à tout moment entre deux requêtes, le fournisseur mobile en gérant un certain nombre en parallèle, partagées en NAT entre ses abonnés. IPv6 devrait permettre d'éviter ces proxy/NAT, qui en plus sont très lents mais fonctionnent encore à vitesse raisonnable sur les réseaux 2G/3G où cette lenteur ne se fait pas sentir; cependant IPv6 n'est toujours pas déployé en France vers les abonnés internet mobile)... Le 27 juin 2016 à 17:31, Christian Quest <cqu...@openstreetmap.fr> a écrit : > Malheureusement non, le token étant public n'importe qui peut l'utiliser > hors iD. > > Le 27 juin 2016 à 16:38, althio <althio.fo...@gmail.com> a écrit : > >> >> >> 2016-06-27 12:19 GMT+02:00 althio <althio.fo...@gmail.com>: >> >>> >>> >>> 2016-06-27 10:44 GMT+02:00 Christian Quest <cqu...@openstreetmap.fr>: >>> > L'accès reste limité à JOSM, il manque le referer dans les accès >>> provenant >>> > d'iD permettant d'éviter un usage autre que dans un éditeur. Si >>> quelqu'un a >>> > le courage de regarder le code d'iD pour voir si il serait possible de >>> > l'avoir, et de proposer une pull-request, ça serait super chouette ;) >>> >>> Question ouverte sur : >>> https://github.com/openstreetmap/iD/issues/3197 >>> >> >> >> Première réponse : access_token >> >> Est-ce que c'est applicable à notre configuration ? >> >> >> From: Bryan Housel >> Subject: Re: [openstreetmap/iD] referer string for imagery request (#3197) >> >> The way we handle this in the Mapbox Imagery layer is to append an >> access_token parameter to the request: see editor-layer-index >> sources/world/MapBoxSatellite.json >> <https://github.com/osmlab/editor-layer-index/blob/gh-pages/sources/world/MapBoxSatellite.json#L4> >> >> >> _______________________________________________ >> Talk-fr mailing list >> Talk-fr@openstreetmap.org >> https://lists.openstreetmap.org/listinfo/talk-fr >> >> > > > -- > Christian Quest - OpenStreetMap France > > _______________________________________________ > Talk-fr mailing list > Talk-fr@openstreetmap.org > https://lists.openstreetmap.org/listinfo/talk-fr > >
_______________________________________________ Talk-fr mailing list Talk-fr@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-fr
