Ich stelle mir die Frage, wie sicher Apps wie Tesla Token eigentlich sind. Zwar schreibt der Entwickler, dass die Zugangsdaten nicht abgegriffen werden können, aber wer sagt mir, dass die Token nicht irgendwohin übertragen werden? Ich will hier niemandem etwas unterstellen, aber ein gewisses Vertrauen muss da schon vorhanden sein.
Ohne den Quellcode zu kennen, wird dir niemand sagen können ob die Token nur bei dir ankommen.
1 „Gefällt mir“
Genau das denke ich eben auch. Und selbst wenn der Quellcode offen wäre, wer sagt, dass die APK im Store auf dem Quellcode in Github basiert? Also ergo vertraut ihr einfach solchen Apps wie Tesla Token?
Naja einfach vertrauen nicht, eher mit maximalem Misstrauen recherchieren und eine Risiko-Einschätzung gewinnen.
Gibt ja genug andere, die niedrigere Hemmschwellen haben 
Letztendlich funktioniert dann nichts im Leben ohne Vertrauen.
Im Zweifel kannst du die Token auch selbst erzeugen. Eine inoffizielle Doku findest du hier: Authentication - Tesla JSON API (Unofficial)
Als ich meine Token erzeugt habe, war die Sicherheitshürde noch niedriger. Da funktionierte das noch direkt in TeslaMate. Aktuell würde ich aber auch einen der Dienste nutzen.
1 „Gefällt mir“
Danke für den Hinweis. Ich habe mir jetzt ein eigenes VB-Script geschrieben und auf Github veröffentlicht. Das möchte ich hier mit allen teilen, die ebenfalls Bauchschmerzen haben mit closed source oder Apps, bei denen man sich nicht 100 %ig sicher sein kann, was da im Hintergrund passiert. Ich mache noch einen eigenen Post, damit es auch jeder hier in „Apps und Datalogger“ mitbekommt.
Also für alle Windows-Benutzer:
2 „Gefällt mir“
Spaß beiseite,
Ein ActiveX control einer xbeliebigen softwarebude installieren zu müssen, ist genauso sicher wie einer App in den App Stores zu vertrauen.
Die Idee ist gut gemeint, aber danke nein.
Nö, ist es nicht. An der Haaren herbeigezogenes Argument und mit nichts zu verlgeichen.
- Eine App, die konkret Tesla-Tokens ausliest und nichts anderes macht, könnte theoretisch diese Token irgendwohin schicken und jederzeit nachsehen, wo man herumfährt.
- Ein ActiveX-Control, welches irgendwelche allgemeine Funktionen wie SHA256-Verschlüsselung, Base64-Codierung oder http-requests bereitstellt, ist wohl nicht im Ansatz mit einer dedizierten Anwendung für einen bestimmten Zweck zu vergleichen.
Ich zwinge niemanden, ich biete es lediglich an.
Aber niemand kann in das ActiveX Element reinschauen.
Wenn das auch als Quellcode vorhanden und compilierbar wäre, würde ich nichts sagen.
Es kann auch niemand in den Souce Code von Tesla Token reinschauen. Was sagst Du dazu?
Wie generierst Du Deine Token?
Aber das ist doch genau das was du beheben willst, oder?
Und da halte ich es für zweifelhaft ob man dafür ein ActiveX Control verwendeln sollte.
Gerade auch dann wenn es die Verschlüsselung und http request realisieren soll (hast du selber angeführt).
Da gibt es bestimmt quelloffene Klassen.
Diese vorhandene App entspricht dem was ihr Diskutiert habt. Quellcode steht auch auf Github.
Zumindest für iOS und Android.
Die App hab ich auch schon gesehen.
Hier ist es wie @Mangar schon schrieb, das man nicht 100% sagen kann das die App auch mit dem Github Quellcode eingereicht wurde.
Das wäre ne Idee für die App Stores sowas automatisch zu verifizieren und anzuzeigen.
Sowas würde das Vertrauen in die Apps erheblich steigern.
1 „Gefällt mir“
Ja, das will ich beheben, erheblich verbessert habe ich es auf jeden Fall, denn diese Token-Apps sind nur für diesen einen Einsatz gedacht, für nichts anderes. Ein ActiveX-Control (gerade dieses von Chilkat hat ja einen enormen Funktionsumfang) ist für alle möglichen Einsätze gedacht und vermutlich bin ich der erste, der dieses Control in Zusammenhang mit Tesla nutzt, das sieht bei diesen Apps ganz anders aus.
Aber das es ja reichen würde, lediglich den http-request umzubauen und danach noch das Aufhübschen des JSON-Objektes wegzulassen, lade ich dazu ein, das zu tun. Mir ist die Sicherheit jetzt jedenfalls hoch genug und ich bin mit meiner Lösung zufrieden und widme meine weitere Zeit anderen Dingen. Ich habe es lediglich online gestellt um anderen, die irgendwelchen Apps ebenfalls nicht vertrauen, eine einfache und wesentlich vertrauensvollere Lösung zu offerieren.
Mir kommt Deine Kritik etwas rosinenpickerisch vor: „Da mir 99,99 % Sicherheit nicht genügen, nehme ich lieber die 99 %.“
Die App Stores sehen den Source-Code auch nicht und halten sich eh im kleingedruckten von jeder Verantwortung für alles frei.
Hallo,
Eine App oder ein closed source ActiveX Steuerelement sind gleich sicher oder unsicher.
Der Benutzer kann den Code nicht beurteilen.
Aber: Eine App läuft in einer Sandbox und kann nicht auf das restliche System zugreifen.
Bei einem ActiveX Steuerlelement gibt es diese Sandbox nicht. Darum kann mit dem ActiveX Element auf den ganzen Rechner zugegriffen werden. Dieses Konzept wird aus diesem Grund auch nicht mehr im Browser ermöglicht. Der Internet Expolorer war der letzte der das zugelassen hat, bzw. zum Schluss musste man das sogar extra Aktivieren.
Ich will keine Rosinenpickerei betreiben, noch will ich das Chillcat Steuerelement schlechtreden -Ich kenne das gar nicht.
Nur auf die Problematik mit dem Vollzugriff auf dem Windows Rechner durch ein “unbekanntes” Steuerelement sollte man Hinweisen.
Es wurde früher eben viel Unsinn mit solchen ActiveX gemacht. Darum die Warnung, bzw. Hinweis.
Prinzipiell finde ich deinen Ansatz super. Danke dafür 
1 „Gefällt mir“
Das mag sicherlich richtig sein das die App Stores das zur Zeit ‘prüfen’, bzw. Zugriff darauf haben. Aber das wäre ja ein super Feature für OpenSource Apps. Direkt aus einem Git eingereicht und durch Google oder Apple kompiliert und dann mit Verifikationsstempel im App Store.
Ok, jetzt verstehe ich Dein Problem. Mir ging es nicht um die Sicherheit meines Windows-Rechners, sondern um die meines Autos und das irgendjemand meine Token (= Autoschlüssel) abgreift.
Dass ActiveX im Browser ein Albtraum war, da stimme ich Dir absolut zu und mit dem Rest hast Du ja auch recht. Da haben wir einfach aneinander vorbeigeredet.
Nachtrag: Die Kundenliste von Chilkat kann sich auch sehen lassen.
1 „Gefällt mir“
Hi Mangar, muss es unbedingt die Chilkat Komponente sein, oder gehen auch andere ?
Muss halt die Funktionen bereitstellen, die ich aufrufe.