Gefährliche Seite ?

teslalog.com/n/#/

Hier soll man die Tesla Zugangsdaten eingeben.

Dann sieht man seine Bewegungsdaten etc.facebook.com/groups/teslawo … 820617613/

Also mir ist das zu gefährlich…

Was meint Ihr ?

Du gibst jemandem volle Kontrolle über dein Auto.
Er weiss wo es steht und kann es wie mit der App fernsteuern.

Es muss ja nicht mal der Entwickler der Arsch sein. Beachtet er etwas nicht und hat eine
Sicherheitslücke im System, kann jemand die Daten entwenden.

Ich hoffe das Tesla da noch eine Lösung finden wird.
Gefährlich? Würde ich in diesem Fall als „Ja“ einstufen.

Muss aber dazu sagen, dass ich es selber nutze :wink:

Meine Credo, wo ich bin weiss ich selbst und geht keinem was an; stell Dir mal vor Du bist bei einer Deiner Freundinnen und die Frau hackt den account[emoji23]

Gesendet von iPhone mit Tapatalk

Würde auch niemandem die Zugangsdaten weitergeben. Alle Sites, die nicht OAuth/Token-basierte Authentifzierung* benutzen, sind unnötig unsicher.

Mich würde vor allem die Haftungsfrage im Schadensfall interessieren: Wenn Dir nachgewiesen wird, dass Du die Zugangsdaten unsachgemäß aufbewahrt/verwendet hast, und festgestellt wird, dass Dein Auto z.B. durch entwendete/mitgelesene Passwörter gestohlen wurde, könnte die Versicherung aufgrund grober Fahrlässigkeit die Zahlung verweigern. Mir wäre das zu riskant.

(*) Bei der o.g. Authentifizierungsmethode würde die externe Anwendung (hier wäre es Teslalog) zu Tesla weiterleiten. Dort authentifiziert man sich ausschließlich gegenüber Tesla, und Tesla leitet dann mit einem Token (eine zufällige Zeichenkette, die nur begrenzt gültig und verwendbar ist) wieder zurück zur Anwendung, die dann Tesla vertraut, dass Du Dich korrekt angemeldet hast. Bei jedem Request gegen das Tesla API würde der Token mitgeschickt, und Tesla würde dies als Alternative zu Username/Passwort akzeptieren, aber nur für Requests von exakt dieser Anwendung, und auch nur z.B. für eine begrenzte Zeit. Das wäre wesentlich sicherer.

M.W. unterstützt Tesla OAuth leider noch nicht vollständig/offiziell.

Das ist ein Witz was Tesla da gemacht hat: docs.timdorr.apiary.io/#referenc … cess-token

Es wäre schön, wenn man einen Api Key erstellen könnte, der nur bestimmte Bereiche freigibt.
Für Teslalog reichen die GPS Informationen / die Stream Api von Tesla.

Das ist echt ein Dilemma, einerseits bekommt man da gute Info über das Auto, Verbrauch, Ladungen etc. Aber wie sicher ist die Seite? Ich habe sie drei Tage benutzt und dann alle Zugangsdaten verändert.

Ein Zwischending sind IOS Apps, da schwanke ich auch noch, Remote S hat hat eine AW Unterstützung, ich denke in diesen Dingen sollte Tesla nachrüsten oder eine sichere Schnittstelle schaffen.

Also hier im Forum wurde von zwei Diebstählen berichtet. In dem entsprechenden Thread hatte ich mehrfach nachgefragt, ob eine Nutzung der Zugangsdaten zum Öffnen/Starten der Fahrzeuge ausgeschlossen werden kann.

Es gab bis heute keine belastbaren Informationen dazu oder ich habe sie übersehen.

Meine Schlussfolgerung wäre: Zugangsdaten NICHT aus der Hand geben, und auch mal kurz über die eigene PC-Sicherheit nachdenken. Irgendwo zwischen 10% und 40% aller privaten Computer dürften unerwünschte Software laufen haben, meine Erfahrung.

my.tesla Zugangsdaten sind wie der Schlüssel fürs Auto.

Ich schließe mich dem Wunsch an Tesla an, ein abgestuftes Rechtesystem einzuführen.

Oder selber hosten…
Teslams läuft auf einem nodejs server

Bitte auf Deutsch?

Ok. Ich gebe es zu, das war etwas kryptisch :slight_smile:
Teslams ist eine Javascript Bibliothek, die auf den Tesla Server greift und die Daten deines Autos abzugreifen. Sie kann auch das, was die anderen Apps auch können (Tür öffnen, hupen, etc.)

Als Beispielapplikation liegt eine Nodejs Applikation bei, die man auf seinen eigenen Server installieren kann und die deine Daten mitloggt.

Hier der Link:
github.com/hjespers/teslams/blo … /README.md

Ich hatte nicht viel Zeit und habe am Wochenende kurz damit gespielt.

Danke, schaue ich mir mal an :slight_smile:

Danke für den Hinweis, rachid, das kannte ich noch nicht.

Um das noch etwas zu ergänzen/erläutern: Man kann diese Software auf einem eigenen Server oder auch lokal auf seinem Rechner installieren. NodeJS (nodejs.org) ist eine Laufzeit-Umgebung (= ein Programm, was man installieren kann, um andere Programme auf seinem eigenen Server/Computer auszuführen, in diesem Fall JavaScript).

Damit würde man seine Zugangsdaten nur auf einem eigenen Server oder lokal verwenden.

Vorausgesetzt, die Anwendung „teslams“ schickt die Anmeldedaten nicht woanders hin (dies ließe sich anhand des öffentlichen Quellcodes mit etwas Aufwand verifizieren), wäre das eine relativ sichere Nutzung des Tesla APIs.

Ich hatte den Code überflogen und nichts verdächtiges gesehen.
Ist auch relativ überschaubar…

Zu Teslalog ist auch in diesem Thread interessantes zu finden: Lademöglichkeit Meilenwerk Stuttgart (HPC)

Nach meinen letzten FB-Konversationen mit dem Author: No way.

Der Typ hat keine Ahnung von Threat Management, und ist bestenfalls ein mitteltalentierter Webfrickler.

Du meinst teslalog, right?

Ja.

Gesendet von meinem Oneplus 3