Login & MeetingPoint

["Jäger, Frank \(KRZ\)"]

** DE **

Hallo Mapbenders,
bis zur MB-Version 2.2.3 konnte man seinen Mapbender-Client über den Parameter "Bounding-Box" (&mb_myBBOX=) sehr einfach neu positionieren.

Wenn man bereits angemeldet war, brauchte man in der URL keine Zugangsdaten übermitteln (User und Passwort). Wir haben diese Funktion in Fachanwendungen eingebaut um eine Verbindung von Fachdaten und GIS zu schaffen. Eine Koordinate in den Fachdaten reicht dazu.

Seit Version 2.4 ist diese Verbindung nicht mehr benutzbar, weil die überarbeitete login.php (so vermute ich) jetzt immer die Parameter "&name=" und "&password=" verlangt.

Das ist aus meiner Sicht ein Rückschritt und Datenschutzrechtlich bedenklich. Das Mapbender-Passwort müsste in allen angebundenen Fachanwendungen gespeichert werden. Diese Änderung haben wir nicht nachvollzogen.

Ich würde mir wünschen, dass die Änderung dieser Verhaltensweise der BBOX-Funktion rückgängig gemacht wird.


Meeting-Point

Ich habe mir die neue Funktion "Meeting Point" angesehen:

Hier ein Beispiel:
http://wms1.ccgis.de/mapbender_dev/frames/login.php?name=demo&password=demo&mb_user_myGui=meetingPoint&mb_myBBOX=3488740,5762404.389534884,3498810,5769605.610465116&mb_myPOI=Komm_zum_KRZ,3494610,5766280

Der Anwender kann damit selbst URLs mir den Parametern "Bounding-Box" (&mb_myBBOX=) und "Point Of Interest" (&mb_myPOI=) generieren. Beschreibung siehe: http://www.mapbender.org/index.php/MeetingPoint
Die URLs können dann z.B. als Email verschickt werden.

Zu meinem Erschrecken musste ich feststellen, dass in der generierten URL auch Benutzerkennung und Passwort enthalten sind. So ist die Funktion nach meiner Mainung nicht zu gebrauchen. Man kann den Benutzer doch nicht veranlassen, seine Zugangsdaten per Email zu verschicken. Er merkt es möglicherweise gar nicht, wenn er den internen Aufbau der URL nicht interpretieren kann.
Da die login.php zur Zeit nicht ohne diese Parameter funktioniert (s.o.), müssen sie aus formalen Gründen enthalten sein.
Aus Datenschutzgünden ist die Funktion so aber in einer produktiven Umgebung nicht benutztbar.

Das ist ein Grund mehr, die login.php so zu ändern, dass sie auch ohne User und Passwort in der URL neu positioniert werden kann. 


** EN **

until MB 2.2.3 you could use the parameter "&mb_myBBOX=" in an URL for positioning the GUI from an external application. Before you have to log in once.

Since MB 2.4 you have to serve the parameters "&name=" and "&password=" in every URL.
Therefore you have to save User and Password in every external Application. That's not save an no good practice.

The new function "Meeting-Point" (see links in DE) generates URLs for BBOX and POI.
But also "name" and "password" are part of this URL. The User will send this as Email or put his password on a Website!

If "login.php" works without this parameters (as in 2.2.3) this wouldn't be needed in "Meeting-Point".


Mit freundlichen Grüßen
Frank Jäger

KRZ