Tach!
Bei einem Request https://www.googleapis.com/geolocation/v1/geolocate?key=AIzaSyD-s-mXL4mBzF7KMRkhTCIbG2RKnRGXzJc den ich mit diesem Key und jedem beliebigen Useragent ausführen kann, wird google die REMOTE_ADDR des UserAgent heranziehen um den Standort zu bestimmen.
Der UserAgent hat keine REMOTE_ADDR. Der empfangene Server generiert diese Angabe aus der Sender-IP-Adresse der ankommenden Pakete. Dass man einen im Klartext übertragenen Schlüssel kopieren und anderswo verwenden kann, bei einer Technik, in der es nicht auf direktem Wege möglich ist, die Clients eindeutig zu identifizieren, ist auch keine Sache, die einen sehr verwundern sollte.
dedlfix.