Gegenüber der Presse hat die Bahn mittlerweile behauptet die Lücke geschlossen zu haben. [1] Leider wurden seit meiner ersten Analyse aus 2016 weitere Fehler eingebaut, die verhindern, dass der eingespielte Patch korrekt funktioniert. Die Bahn hat wohl mit einem Update wieder die JSONP-Endpoints beschnitten, gleichzeitig stehen aber mittlerweile die AJAX-Endpoints weit offen. Daher schiebe ich noch eine aktualisierte Version des PoC (Proof of Concept) hinterher. [2] Ich spare mir das Parsen der Uplink-Daten und weitere Ausführungen. Zu ergründen, woher das Problem kommt, überlasse ich dem geneigten Leser.
Zum Zwecke der Dokumentation hier noch ein bisschen HTTP- und XML-Output der Endpoints:
$ curl -D- "https://www.ombord.info/api/xml/position/?id=1500447290067&_=1500447290058"
HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Content-type: application/xml
Transfer-Encoding: chunked
Date: Wed, 19 Jul 2017 07:35:18 GMT
Server: lighttpd/1.4.31
<?xml version="1.0" encoding="UTF-8"?>
<position version="1.9">
<time type="double">1500449718</time>
<age type="integer">0</age>
<latitude type="double">52.600298</latitude>
<longitude type="double">11.965085</longitude>
<altitude type="double">28.6</altitude>
<speed type="double">68.659</speed>
<cmg type="double">0.0</cmg>
<satellites type="integer">8</satellites>
<mode type="integer">3</mode>
</position>
Danke an @ResciscoSilenda, dass du mich noch mal drauf gestoßen hast.
| Autor: | nexus |
| Mail: | nexus (at) hannover (.) ccc (.) de |
| Twitter: | @Nexus511 |