MoZiLive - novy program s LiveAPI

klama · únor 14, 2012, 9:20odp.

kratky popis
videonavod
instalacku

Pripadne otazky rad zodpoviem.

HaLuMa · únor 14, 2012, 9:34odp.

Ty sis koupil Delphi XE2, jo? Gratuluji, to neni zrovna nejlevnejsi hracka.

Rufuc · únor 15, 2012, 10:00am

MoziGo jsem nikdy nepoužíval, protože mi to vždycky připadlo děsně zmatené a nepřehledné.
Tohle vypadá hodně jednoduše a zajímavě, tak jsem si říkal, že to testnu, ikdyž používám Geoget.
No je to pěkný, jen mi to nějak nestahuje keše…Result okno se objeví a nic…
A ikdyž zadám GUID kliknu na Get acces token, tak stejně po stisknutí tlačítka Get profil se nic neděje

petulinka1 · únor 15, 2012, 10:22am

Taky mi to nestahuje, ale vydumala jsem jak se dostat k funkcnimu Get profile
Sice klines na get acces, ale ono se to neprepne do hlavniho okna, kde se objevi klasicky prihlaseni s povlenim pro pozuziti API.
Chtelo by to doladit klamo, at nemates zbytecne lidi (ktery to pak muze nastvat).
Mozna to vypada jednoduse, ale nez se clovek prokouse k nejakymu stahovani a pochopi, jak se to vlastne dela, tak to trva strasne dlouho.
Jo a chtelo by to poradne doprelozit aspon do ty slovenciny. Pulka SK a pulka ENG nevypada zrovna userfriendly.

klama · únor 15, 2012, 10:47am

Ziskanie platneho tokenu vyzaduje na pozadi funkcny web mozilive…
Asi sa stalo to, ze mnou nastavene timeouty nie su optimalne a prejav je taky, ze sa program neprepne tak abo by bolo treba.
Prvorade je ziskanie tokenu, to sa musi "podarit" raz a potom to uz nie je treba…
Samozrejme preklad bude urobeny co najskor…

Dakujem za spatnu vazbu.

HaLuMa · únor 15, 2012, 11:00am

Proc na ziskani tokenu potrebujes tvuj vlastni web?
Prijde mi podezrele, kdyz otazku autorizace uzivatele vuci serverum Groundspeaku honis pres nejakou
vlastni webovou stranku. :o

Rufuc · únor 15, 2012, 11:02am

Ten Get acces token jsem taky rozlouskl, přes to jsem se dostal. Ale Get profile nic. stahování keší nic.
takže zatím žádná výhra

Rufuc · únor 15, 2012, 11:03am

no tohle je fakt divný jako

osnica · únor 15, 2012, 11:30am

MoZiLive nepoznám, ale raz sme riešili Facebook autentifikáciu pre desktop aplikáciu v Jave, a tiež sme to nakoniec museli riešiť jednoduchou vlastnou proxy web aplikáciou. Dôvod bol prostý - zohnať spoľahlivý embedded browser komponent, v ktorom by FB OAuth spoľahlivo fungoval, a nenabaľoval by zbytočne celú aplikáciu o pár MB naviac (hlavne keď to využije malé percento užívateľov) bolo prakticky nemožné. Tak sa zvolilo také riešenie.

Nepoznám MoZiLive, neskúšal som ho, takže neviem prečo je to v ňom tak, píšem len preto, že takéto riešenie môže byť kľudne legitímne a opodstatnené a netreba ho hneď spochybňovať. Vysvetliť to môže len autor. Ak sa nemýlim, tak Live API tiež používa OAuth.

klama · únor 15, 2012, 11:39am

Pre mna to bolo jednoduchsie naprogramovat tak, ze overenie sa robi cez php stranku /isto vies, ze toto riesenie bolo zverejnene na gs webe pre vyvojarov/a ja si prevezmem len hotovy token. Isto sa to da urobit 100 roznymi sposobmi…Rozhodne to je rovnako bezpecne/nebezpecne ako su ine riesenia.

Hm je mozne, ze dojde k vynimke pri stahovani profilu - to sa zial tahaju aj statistiky atd a mozno v tvojom pripade je to prilis dlhe lalebo?
Pri tomto stiahnuti sa snazim zistit udaje o userovi ci je to PM,BM atd…
aby som podla toho poprepinal vnutorne moznosti programu. Ale ak pri tom dojde k chybe tak je to cele naprd.

LynxJ · únor 15, 2012, 11:52am

jj, presne tak. GC Live API pouziva OAuth autentikaci a musi se nejdriv ziskat "token" pomoci pokud mozno tajneho unikatniho kodu aplikace a teprve pak se muze volat API s timto tokenem.

HaLuMa · únor 15, 2012, 12:05odp.

Jenze moje zpochybneni neni jen nejaky teoreticky plk. Sam jsem tuto ulohu resi a vyresil, a tak kvalifikovane prohlasuji, ze reseni pres vlastni web neni vubec nutne! Pro nekoho je to pohodlnejsi na naprogramovani, nicmene vnasi to do celeho procesu autorizace neduveru.

Totiz ten autorizacni token, ktery se takto ziska, ma byt dostupny prave a jen pro autorizovaneho uzivatele a ne pro nikoho jineho. Je treba jej maximalne chranit, protoze zcizeni tokenu je velmi nebezpecne! Jakmile totiz nekomu ukradnes jeho token, muzes si v Geocaching Live delat co chces pod identitou postizeneho uzivatele a skryvat se za uplne cizi apliakci. Staci vedet ten token, a mas uzivateluv ucet v hrsti, muzes provadet v APi takove operace, ktere ti Groundspeak neschvali, atd.

A ted ruku na srdce, opravdu ti prijde normalni, ze se takovyto univerzalni klic k tvemu uctu zjistoval pres nejakou cizi webovou stranku? Nekdo Klamovi duveruje natolik, ze ho to netrapi. Nekdo treba ne, a nemelo by jim byt takoveto riziko tajeno.

osnica · únor 15, 2012, 12:11odp.

Nie je nutné, ale sú scenáre keď je vhodné, a teda MoZiLive nebude určite prvá aplikácia s takýmto prístupom ku OAuth. Nevravím, že je toto riešenie najlepšie.

Čo sa týka bezpečnosti tokenu, rovnako ako dôverujem aplikácii, že nebude na internet posielať údaje ktoré nemá, alebo že si nebude ukladať tokeny niekam inam; tak rovnako môžem dôverovať (alebo nedôverovať) dvom aplikáciám (desktopovej a serverovej) ktoré sú vzájomne prepojené, a ktoré kontroluje a spravuje ten istý subjekt.

V našom prípade (Java) som mal hotové obidve riešenia - s webovou aplikáciou, aj s embedovaným browser komponentom. Nakoniec bolo zvolené prvé (pritom v našom prípade bolo použitie embedovaného browsera jednoduchšie na implementáciu).

Parkis · únor 15, 2012, 12:13odp.

S tou (ne)důvěrou klamovi bych to tak nehrotil, pokud by chtěl získat cizí tokeny tak si stejně dobře může udělat backdoor rovnou do aplikace. Problém může být spíš v tom kde danou stránku hostuje a kdo jiný má k tomu serveru přístup. Ale nebudu teoretizovat, nevím jak to má zabezpečeno.
Druhá věc je otázka spolehlivosti, protože takhle je aplikace závislá na tom jestli běží nebo neběží server.

petulinka1 · únor 15, 2012, 12:13odp.

Kdyz jsem se ted podivala na gc.com do autorizaci pro aplikace, tak me trochu udivilo

Nic ve zlym, ale za par tejdnu vubec nebudu vedet, cemu tohle vlastne patri…

HaLuMa · únor 15, 2012, 12:21odp.

No to je prave to - kdyz bude v aplikaci backdoor, je riziko, ze si toho nejaky z uzivatelu vsimne. Pokud bude backdoor ve webove aplikaci, nemas sanci si toho vsimnout.

Dalsi vec - ze ti nekdo hackne aplikaci tak, aby ti vykradl ten jeden tvuj autorizacni token, to je dost nepravdepodobne. Zatimco hacknout jeden web a ziskat spousty tokenu najednou, to je mnohem vice lakavejsi, ne?

Me je to nastesti fuk, jen bych byl nerad, aby se tu uzivatelum zastirala rizika hlaskami typu "je to stejne bezpecne". Jen varuji.

klama · únor 15, 2012, 12:44odp.

Na webe sa ziadne tokeny neukladaju, takze ak by hned bol hacknuty tak tam nic nie je …token sa generuje vzdy dynamicky.

Toto negeneruje aplikacia ale roundspeak a ked mozilive bude uplne "posveteny" tak to asi bude kompletne.

Ziskat platny token sa da rovnako lahko z GG alebo inej aplikacie a ak to haluma nevie, tak mu to vesat na nos nebudem, podla mna to vsak velmi dobre vie len teraz si chce troska kopnut. To si snad len gs mysli, ze to je takto zabezpecene nepriestrelne.

HaLuMa · únor 15, 2012, 12:50odp.

Kdepak, z GG ten token jednoduse neziskas.

klama · únor 15, 2012, 1:00odp.

Ja by som si taky isty nebol…daj mi platne meno/heslo a ja ti poslem token do GG, samozrejme tak, ze ho odchytim, staci?

Rufuc · únor 15, 2012, 1:21odp.

To máš pravdu, protože jestliže ti aplikace zhavaruje kvůli tomu, že má uživatel moc velký profil (statistiky atd.) Tak to nebude asi moc lidem fungovat, protože já jsem spíš ten umíněrnější, jsou lidi co maj statistiky narvané dětkrát tolik co já…
Mě se to interface poměrně líbí…je to takové jednoduché pro "blbečky". Já sice budu pořád používat výhradně Geoget, ale komu stačí jen kešky stáhnout a naládovat do GPSky, tak by to mohlo vyhovovat. Pokud se z tohodle stane funkční věc, tak bych to využil jako alternativu do práce, když narychlo chci nějaký kešky.
Kdyby byl tak nějak vyřešenej geojarry, to by byla paráda. (klik na mapu, klik na atributy, import - export není co řešit)