Gebruik referer - termijn

RHoek · 6 juli 2020 om 13:53

Bij de recente mailing, wordt aangegeven dat het gebruik van de PDOK webservices zonder referer, vanuit ondersteuning, niet echt gewenst is:
https://www.pdok.nl/-/altijd-een-referer-meegeven-aan-pdok

Voor webapplicaties, welke vanuit de browser requests doen naar de services, is een referer meestal wel gevuld, maar vanuit desktop applicaties zelden.

Ik ben eigenlijk op zoek naar wat de exacte achtergrond is van deze vraag. Want vanuit ondersteuning maakt het - vanuit een desktop applicatie - niet uit of er uberhaupt een referer is.
Of wil PDOK obv de referer het gebruik per ‘partij’ monitoren?

Onze applicatie specificeerd dus geen referer. Maar gaat PDOK dan op enig moment deze referer verplichten? Zo ja, wat voor tijdlijn zit daarachter?

Anton · 6 juli 2020 om 17:20

Ik ben ook benieuwd naar de achtergrond van de vraag. In de mededeling wordt niets uitgelegd, en het lijkt me niet echt logisch dat een referer ertoe bijdraagt dat je sneller geholpen wordt. Hooguit dat men sneller kan zien welke requests worden gedaan vanuit een bron om te controleren of de requests correct zijn. Maar dat kun je in een log-file ook wel zien, als er iets mis is.

Een referer voegt niet veel toe imo.

Just_OSGeo · 6 juli 2020 om 19:18

Ik weet toch zeker dat er een topic hierover door @Rob geopend was. En door mij en anderen beantwoord is. Of riep het toch teveel reacties op, of is er een backup terugezet? Nu ja, zolang de diensten zonder Referer ook blijven werken, ook ok. Zie inderdaad issues wanneer Referer verplicht zou zijn. Iets dagelijks als QGIS (PDOK Plugin?) zou ineens niet meer werken. In de meeste tools valt altijd wel een Referer in te stellen, denk ook QGIS bijv, maar wat zegt dat nog? Levert in praktijk veel gedoe en communicatie-overhead op. IGN Geoportail (“Franse PDOK”) doet ook zoiets, verplichte Referer (Of IP of basic auth) zelfs (en key die je jaarlijks moet vernieuwen) terwijl de dienst ook gratis is.

Om zowel de client als de PDOK infrastructuur te ontzien, zijn er wel een hoop slimmigheden: bijv om in een OpenLayers-client serverResolutions op m.n. raster lagen in te stellen. Wanneer dan de client bijv een tile opvraagd boven een natuurlijke resolutie, zal deze de voorgaande resolutie “opblazen” ipv steeds naar server te gaan. Kan enorm in load schelen, plus dat je lekker ver kan inzoomen zonder dat de kaart ineens “wit” wordt.

wouter.visscher · 6 juli 2020 om 19:52

@Just_OSGeo (en andere) het klopt dat je een topic van @Rob hebt gezien, deze is inmiddels weggegooid (iets met: “Jumping the gun”). Alleen zijn er ook schijnbaar mailtjes de deur uitgegaan.
Dit is een ‘onderwerp’ (?) vanuit de PDOK business, waar ik verder ook geen toelichting bij heb anders dan vermoedens. Ik heb ze op dit topic gewezen en gevraagd of ze hierop kunnen reageren…

EfekE · 7 juli 2020 om 10:04

Wij van de PDOK business zijn bezig om een nieuwe berichtgeving hierover te plaatsen.

RHoek · 7 juli 2020 om 11:07

Ok, dan wacht ik dat even af.

EfekE · 8 juli 2020 om 10:46

Beste Forumleden,

Naar aanleiding van de reacties op het eerder geplaatste bericht over het verzoek van PDOK aan afnemers, hierbij een vervangend bericht. https://geoforum.nl/t/gebruik-referer-bij-pdok/4470

Graag licht PDOK het gevraagde gebruik van een referer door afnemers toe: PDOK streeft er iedere dag naar om zijn dienstverlening te verbeteren. Wij zitten nu in de situatie dat met de miljoenen requests die PDOK per dag verwerkt moeilijk onderscheid gemaakt kan worden tussen individuele applicaties, diensten en/of organisaties. Wanneer o.a. applicatiebouwers de request headers (waaronder de referer header) goed invullen, dan helpt dat PDOK om ingeval van incidenten efficiënter/effectiever te werk te gaan, en zo nodig contact op te nemen met organisaties die hier mogelijk hinder van ondervinden. Als een website deze referer niet meegeeft in haar bevragingsrequests, kan deze instantie bij PDOK geen rechten ontlenen aan het serviceniveau.

Erkan Efek
PDOK

Anton · 9 juli 2020 om 07:16

Ik vind het er nog niet veel duidelijker op worden als ik eerlijk ben.

Vooral de laatste zin klinkt als één stap verwijderd van “zonder referer nemen we je vraag/bugmelding niet eens in behandeling”.

Is het mogelijk om iets technischer te beantwoorden? Wat doet een softwarebouwer met een desktop applicatie? Welke header moet worden gevuld en waarmee?

En als het gaat om herkenning van software, organisatie of dienst, zijn er dan geen betere oplossingen? Onze software bijvoorbeeld wordt door de gebruiker niet altijd geupdate, dus bij een storing is een applicatievermelding niet voldoende, daar hoort dan ook een versie bij. En misschien wel een verwijzing naar de gebruiker die gebruik maakt van onze software omdat die verantwoordelijk is voor hun internetverbinding.

En als er gelogd wordt hoeveel aanvragen er zijn vanuit een bepaalde applicatie, dan ben ik ook wel nieuwsgierig naar de resultaten. Kunnen die dan ook worden opgevraagd of gedeeld worden met de applicatiebouwers?

Het lijkt me een beter plan als PDOK met software/website bouwers samen gaan zitten voor de beste oplossing om herkomst van aanvragen te kunnen herleiden. Daar wordt uiteindelijk iedereen gelukkiger van.

CindyPNH · 9 juli 2020 om 07:56

Dag allen,

Ik sluit mij aan bij de vragen van Anton. Ook ik mis nog meer technische details en een uitgebreidere omschrijving over hoe de referer precies gebruikt dient te worden (bij verschillende applicaties) en waarmee deze gevuld moet worden. Voor mij is hetgeen dat op de website van PDOK wordt vermeld en op het forum wordt herhaald vrij summier.

Is er al een voorbeeld uit de praktijk en is het al door iemand uitgeprobeerd? Dat zou al veel helpen!

Dank!

Adrie · 9 juli 2020 om 11:21

Ook ik wil me aansluiten bij de vragen van Anton. Welke informatie is bij de referer gewenst. Moet dit verwijzen naar een applicatie, leverancier v/d applicatie, gebruiker of organisatie die de applicatie gebruikt.

Deze informatie hebben we nodig om op de juiste manier invulling te geven aan de wens om referer te gaan gebruiken.

RHoek · 9 juli 2020 om 12:26

Ok, het doel is nu enigszins duidelijk: vanuit support gerichter ondersteuning kunnen bieden bij problemen/calamiteiten.

Maar dan ben ik het ook wel eens met Anton, dat wanneer het wenselijk is applicaties/systemen te onderscheiden, daar betere oplossingen voor zijn, welke dan ook beter inzicht geven voor zowel applicatie bouwer als PDOK support.

Ik snap dat de referer iets is, wat standaard beschikbaar is binnen http, maar uiteindelijk is dat niet sluitend: gebruikers kunnen in het browser de referer gewoon niet laten meegeven, zonder dat een bouwer daar invloed op heeft.

Uiteindelijk zou je iets moeten opnemen en (op den duur) afdwingen om mee te geven (en dan het beheer van dat ‘iets’ in de handen van de bouwer laten liggen - bijvoorbeeld een applicatie specifiek token).

EfekE · 16 juli 2020 om 13:48

Het gaat met name om webapplicaties/sites. In de header is een referer veld beschikbaar waar je bijvoorbeeld referer= www.gemeenteA.nl invult.

Kijk op w3c voor meer voorbeelden.

RHoek · 16 juli 2020 om 15:13

Het gaat met name om webapplicaties/sites

Ok, duidelijk.
Het versturen van de ‘referer’ gebeurt bij websites vaak al automatisch door de browsers zelf.

In de header is een referer veld beschikbaar waar je bijvoorbeeld referer= www.gemeenteA.nl invult.

Dat was mij ook wel duidelijk. Alleen wilde ik onderstrepen dat het gebruik van de ‘HTTP REFERER HEADER’ niet voor 100% kan worden afgedwongen door applicatie bouwers, omdat er mogelijkheden zijn om het versturen ervan te onderdrukken.

Dus zolang er geen concequesties zijn voor het uitvoeren van een request indien de header ontbreekt, is het voor mij ook geen probleem.