Sv: Erfaringer Drammen Karosseri

[Tuxedo]

Med offisielle app'en så sendes det kryptert, men mulig det gjelder for alle disse 3.part.

Jeg har forstått det slik at det er den samme krypterte 'kanalen' som brukes uansett hvilket program som kobler seg opp til Tesla'en. Ett eller annet API(?) greie som software folket har peiling på.
Passordet er ikke noe som de som driver Linkmytesla kan få tak i så vidt jeg skjønner.

De kan hvis de vil, ettersom du må oppgi passordet på siden deres.

[eldanz]

Her er dokumentasjon og bruksanvisninger for Visible Tesla: http://visibletesla.com/Doc_v2/pages/GettingStarted.html og
på Tesla Motors Club: http://www.teslamotorsclub.com/showthread.php/19975-VisibleTesla

Profil til forfatter: http://www.teslamotorsclub.com/member.php/12528-jpasqua

I denne tråden står det et sted hva jpasqua sier om sikkerheten. Dette finnes i en tråd på elbilforumet også; litt vrien å finne.

Det tar mye tid å sette seg inn i alle forholdene, spesielt når det gjelder sikkerhet.

LinkMyTesla er en annen APP/Program, skrevet av en danske:
http://linkmytesla.dk/index.html?last=/user/homepage.html
kommentert som veldig bra av cirys1
Noe mer kan finnes her: http://teslaforum.dk/link/38.

Jeg følger opp denne tråden, Linkmytesla, ny dansk kjørekomputerapp...,  etterhvert.

Nå er det lørdag og kjøring med min Eleganz; treffes vi på Tyrigrava 17. oktober?
Ha en bra weekend!

[petersv]

Alle disse 3.-part-appene vil jo nødvendigvis måtte håndtere brukerdata som brukernavn og passord. Hvordan de lagres er nok et viktigste, men lagres må de iom. at tokenen fra teslas API utløper etter en viss tid, og ellers må brukeren logge inn igjen med jevne mellomrom.

Jeg ville derfor frastått å bruke "web-apps" som kjører på en ekstern server, og helelr brukt en mobilapp som kan lagre brukernavn og passord lokalt på mobilen din, for så å sende over tokenen til 3.-part. Man må da nødvendigvis restarte appen hver 3. mnd. for å opprettholde kommunikasjon, men dette ser jeg på som en styrke iom. at man da er garantert at ingen kan misbruke tilgangen etter tokenen er utløpt.

Varighet på tokenen var 3 mnd. før, men er kanskje litt kortere nå? (Står i linken i forrige innlegg, jeg orket ikke å sjekke )

EDIT: Eller for å si det på en annen måte, er du komfortabel med å gi bilnøklene til en ukjent 3.-part så burde du ikke ha noe problem med å bruke linkmytesla. (Les forsikringsvilkårene dine nøye!)

[GeirHM]

Alle disse 3.-part-appene vil jo nødvendigvis måtte håndtere brukerdata som brukernavn og passord. Hvordan de lagres er nok et viktigste, men lagres må de iom. at tokenen fra teslas API utløper etter en viss tid, og ellers må brukeren logge inn igjen med jevne mellomrom.

Jeg ville derfor frastått å bruke "web-apps" som kjører på en ekstern server, og helelr brukt en mobilapp som kan lagre brukernavn og passord lokalt på mobilen din, for så å sende over tokenen til 3.-part. Man må da nødvendigvis restarte appen hver 3. mnd. for å opprettholde kommunikasjon, men dette ser jeg på som en styrke iom. at man da er garantert at ingen kan misbruke tilgangen etter tokenen er utløpt.

Varighet på tokenen var 3 mnd. før, men er kanskje litt kortere nå? (Står i linken i forrige innlegg, jeg orket ikke å sjekke )

EDIT: Eller for å si det på en annen måte, er du komfortabel med å gi bilnøklene til en ukjent 3.-part så burde du ikke ha noe problem med å bruke linkmytesla. (Les forsikringsvilkårene dine nøye!)

Linkmytesla fungerer da på akkurat den måten du beskriver her? Jeg må fornye token lokalt og får opp hvilket antall dager jeg har til rådighet før token igjen må fornyes.

[petersv]

Alle disse 3.-part-appene vil jo nødvendigvis måtte håndtere brukerdata som brukernavn og passord. Hvordan de lagres er nok et viktigste, men lagres må de iom. at tokenen fra teslas API utløper etter en viss tid, og ellers må brukeren logge inn igjen med jevne mellomrom.

Jeg ville derfor frastått å bruke "web-apps" som kjører på en ekstern server, og helelr brukt en mobilapp som kan lagre brukernavn og passord lokalt på mobilen din, for så å sende over tokenen til 3.-part. Man må da nødvendigvis restarte appen hver 3. mnd. for å opprettholde kommunikasjon, men dette ser jeg på som en styrke iom. at man da er garantert at ingen kan misbruke tilgangen etter tokenen er utløpt.

Varighet på tokenen var 3 mnd. før, men er kanskje litt kortere nå? (Står i linken i forrige innlegg, jeg orket ikke å sjekke )

EDIT: Eller for å si det på en annen måte, er du komfortabel med å gi bilnøklene til en ukjent 3.-part så burde du ikke ha noe problem med å bruke linkmytesla. (Les forsikringsvilkårene dine nøye!)

Linkmytesla fungerer da på akkurat den måten du beskriver her? Jeg må fornye token lokalt og får opp hvilket antall dager jeg har til rådighet før token igjen må fornyes.

Og isåfall er det veldig bra, som om jeg skulle designet/sagt det selv Så du er altså sikker på at passordet ditt ikke sendes til likmytesla, har du sjekket i debuggeren i Chrome/FF om hvilke data som utveksles?

Edit: Jeg så nå på siden selv (har ikke, og laget ikke bruker) På siden http://linkmytesla.dk/newuser.html der man oppretter bruker må man oppgi passord, denne siden er ikke kryptert, og det sendes derfor i klartekst over internet slik at alle som vil kan lese det! Som kjent bruker de fleste samme passord på en flere tjenester, og det er derfor nærliggende å tro at dette gjelder denne siden og teslamotors.com også.

Nå har jeg bare skrapet i overflaten på linkmytesla, men av det jeg har sett er dette definitivt en tjeneste jeg ikke ville benyttet meg av for å håndtere den 2. dyreste kapitalgjenstanden i mitt liv. En annen sak er jo at designet ikke er direkte som fløyel for mine øyne heller...

[Sandvika]

Alle disse 3.-part-appene vil jo nødvendigvis måtte håndtere brukerdata som brukernavn og passord. Hvordan de lagres er nok et viktigste, men lagres må de iom. at tokenen fra teslas API utløper etter en viss tid, og ellers må brukeren logge inn igjen med jevne mellomrom.

Jeg ville derfor frastått å bruke "web-apps" som kjører på en ekstern server, og helelr brukt en mobilapp som kan lagre brukernavn og passord lokalt på mobilen din, for så å sende over tokenen til 3.-part. Man må da nødvendigvis restarte appen hver 3. mnd. for å opprettholde kommunikasjon, men dette ser jeg på som en styrke iom. at man da er garantert at ingen kan misbruke tilgangen etter tokenen er utløpt.

Varighet på tokenen var 3 mnd. før, men er kanskje litt kortere nå? (Står i linken i forrige innlegg, jeg orket ikke å sjekke )

EDIT: Eller for å si det på en annen måte, er du komfortabel med å gi bilnøklene til en ukjent 3.-part så burde du ikke ha noe problem med å bruke linkmytesla. (Les forsikringsvilkårene dine nøye!)

Og før det kommer så langt, i motsetning til f.eks my.teslamotors.com så sendes passordet ukryptert fra deg til serveren slik at folk på samme nett eller langs ruta kan plukke opp passordet.
Mao. så bypasser mesteparten av sikkerhetsbarrierene som Tesla har bygget inn.
Dette betyr i prinsippet at de også kan finne, åpne og kjøre avgårde med bilen.


Redigert: Ser Petersv slo meg med 2min på denne   

[petersv]

Alle disse 3.-part-appene vil jo nødvendigvis måtte håndtere brukerdata som brukernavn og passord. Hvordan de lagres er nok et viktigste, men lagres må de iom. at tokenen fra teslas API utløper etter en viss tid, og ellers må brukeren logge inn igjen med jevne mellomrom.

Jeg ville derfor frastått å bruke "web-apps" som kjører på en ekstern server, og helelr brukt en mobilapp som kan lagre brukernavn og passord lokalt på mobilen din, for så å sende over tokenen til 3.-part. Man må da nødvendigvis restarte appen hver 3. mnd. for å opprettholde kommunikasjon, men dette ser jeg på som en styrke iom. at man da er garantert at ingen kan misbruke tilgangen etter tokenen er utløpt.

Varighet på tokenen var 3 mnd. før, men er kanskje litt kortere nå? (Står i linken i forrige innlegg, jeg orket ikke å sjekke )

EDIT: Eller for å si det på en annen måte, er du komfortabel med å gi bilnøklene til en ukjent 3.-part så burde du ikke ha noe problem med å bruke linkmytesla. (Les forsikringsvilkårene dine nøye!)

Og før det kommer så langt, i motsetning til f.eks my.teslamotors.com så sendes passordet ukryptert fra deg til serveren slik at folk på samme nett eller langs ruta kan plukke opp passordet.
Mao. så bypasser mesteparten av sikkerhetsbarrierene som Tesla har bygget inn.
Dette betyr i prinsippet at de også kan finne, åpne og kjøre avgårde med bilen.

Våre innlegg krysset hverandre! Jeg ville gått så langt som å sterkt fraråde å bruke linkmytesla.

[frosken]

Webtjenesten LinkMyTesla er en god idé med mye spennende og nyttig funksjonalitet, men uten kryptert kommunikasjon er det galskap å oppgi brukernavn og passord på nettsiden.

Jeg stiller meg også kritisk til at tjenesten nå koster penger som han selv sier er kun for å drifte tjenesten, ikke for å tjene noe. Hvis det var tilfelle burde han heller lagt ut koden på Github så folk kunne kjørt den på egen server med det nivået av sikkerhet man selv er komfortabel med.

Å ta seg betalt for en så usikker tjeneste synes jeg ikke noe om.

Jeg har en tanke om 20 kroner om måneden (240 kroner om året) for opsamling og lagring af data. Hvis der er nok brugere på, vil det dække udgifterne til server/internet og licenser.

Kilde: http://linkmytesla.dk/info.pdf

At nettsiden ikke er brukervennlig eller spesielt pen taler også imot, men det blir litt underordnet det overnevnte 

[GeirHM]

Jeg har nettopp oppfordret Mikkel Korup Lauridsen, som har laget appen, om å svare på kritikken her inne. Den virker jo meget alvorlig.

[MikkelKL]

Hej. Jeg er Mikkel Korup Lauridsen og er ham der har lavet Linkmytesla. GeirHM skrev til mig om denne tråd, så jeg er derfor kommet for at skrive lidt om sikkerheden i Linkmytesla.

Jeg vil lige starte med at forklare hvordan data opnåes fra bilen.

For at få data fra bilen skal en såkadlt "token" bruges, som kan fås fra Tesla. Denne token fås ved at sende kodeord og brugernavn til Tesla, men der skal også sendes en speciel key og secret med for at få denne token. Denne key og secret har jeg dog ikke følt mig komfortabel ved at lægge frit ud i koden af respekt for Tesla Motors, så jeg har derfor valgt at styre denne del på server-siden, hvilket er grunden til at brugernavn og adgangskoden sendes. Denne token holder i 90 dage, hvorefter den skal fornyes med brugernavn og adgangskode igen. Af denne årsag gemmes kodeordet til MyTesla IKKE på systemet, men kun token'en, og du vil derfor blive bedt om at forny denne token hver 90'ende dag.

Adgangskoden til Linkmytesla gemmes i et salted-hash, så det er hverken tilgængeligt til mig eller nogen andre.

Jeg forstår kritikken af manglende SSL på hjemmesiden, og det er noget jeg vil forsøge at løse hurtigts muligt!

Jeg undskylder det knap så fine design til hjemmesiden, eftersom at design af hjemmesider ikke lige er mit speciale

Skulle der være andre spørgsmål, så skal i være velkommen til at spørge

Med venlig hilsen

Mikkel Korup Lauridsen

[frosken]

Flott at du tar deg tid til å svare! Det er en nyttig tjeneste med gode funksjoner, så om sikkerheten økes blir dette en vinner!

[petersv]

Veldig bra om TLS kommer på plass. Bedre sent enn aldri

[GOS]

Hej. Jeg er Mikkel Korup Lauridsen og er ham der har lavet Linkmytesla. GeirHM skrev til mig om denne tråd, så jeg er derfor kommet for at skrive lidt om sikkerheden i Linkmytesla.

Jeg vil lige starte med at forklare hvordan data opnåes fra bilen.

For at få data fra bilen skal en såkadlt "token" bruges, som kan fås fra Tesla. Denne token fås ved at sende kodeord og brugernavn til Tesla, men der skal også sendes en speciel key og secret med for at få denne token. Denne key og secret har jeg dog ikke følt mig komfortabel ved at lægge frit ud i koden af respekt for Tesla Motors, så jeg har derfor valgt at styre denne del på server-siden, hvilket er grunden til at brugernavn og adgangskoden sendes. Denne token holder i 90 dage, hvorefter den skal fornyes med brugernavn og adgangskode igen. Af denne årsag gemmes kodeordet til MyTesla IKKE på systemet, men kun token'en, og du vil derfor blive bedt om at forny denne token hver 90'ende dag.

Adgangskoden til Linkmytesla gemmes i et salted-hash, så det er hverken tilgængeligt til mig eller nogen andre.

Jeg forstår kritikken af manglende SSL på hjemmesiden, og det er noget jeg vil forsøge at løse hurtigts muligt!

Jeg undskylder det knap så fine design til hjemmesiden, eftersom at design af hjemmesider ikke lige er mit speciale

Skulle der være andre spørgsmål, så skal i være velkommen til at spørge

Med venlig hilsen

Mikkel Korup Lauridsen

MikkelKL

Men betyr dette
A) At noen i teorien kan snappe opp passordet (og bruker og bilnavn) når vi oppgir det for å fornye nøkkelen?
B) Har det noe sikkerhetsfunksjon at vi nå også må oppgi bilnavnet? (Men det kan vel eventuelt snappes opp på samme måte?)
C) Gir dette noe annerledes sikkerhet enn App'er vi har på telefonen? I så fall, burde det vært en telefonapp som håndterte dette med passord etc?
D) Kan du snappe det opp og er det annerledes enn hva App-utvikler kan?

Takk ellers for god og nyttig data som det genereres.

PS
Hadde vært interessant om også de lagrede aksellerasjonstider med effekt etc også kunne kommet over i eksport filen. Er litt interessant å se hvordan maks effekt avtar med synkende SOC.

[petersv]

Sjekk ut twitter bootstrap Mikkel for designelementer som er enkle å implementere og administrere.

[MikkelKL]

Hej. Jeg er Mikkel Korup Lauridsen og er ham der har lavet Linkmytesla. GeirHM skrev til mig om denne tråd, så jeg er derfor kommet for at skrive lidt om sikkerheden i Linkmytesla.

Jeg vil lige starte med at forklare hvordan data opnåes fra bilen.

For at få data fra bilen skal en såkadlt "token" bruges, som kan fås fra Tesla. Denne token fås ved at sende kodeord og brugernavn til Tesla, men der skal også sendes en speciel key og secret med for at få denne token. Denne key og secret har jeg dog ikke følt mig komfortabel ved at lægge frit ud i koden af respekt for Tesla Motors, så jeg har derfor valgt at styre denne del på server-siden, hvilket er grunden til at brugernavn og adgangskoden sendes. Denne token holder i 90 dage, hvorefter den skal fornyes med brugernavn og adgangskode igen. Af denne årsag gemmes kodeordet til MyTesla IKKE på systemet, men kun token'en, og du vil derfor blive bedt om at forny denne token hver 90'ende dag.

Adgangskoden til Linkmytesla gemmes i et salted-hash, så det er hverken tilgængeligt til mig eller nogen andre.

Jeg forstår kritikken af manglende SSL på hjemmesiden, og det er noget jeg vil forsøge at løse hurtigts muligt!

Jeg undskylder det knap så fine design til hjemmesiden, eftersom at design af hjemmesider ikke lige er mit speciale

Skulle der være andre spørgsmål, så skal i være velkommen til at spørge

Med venlig hilsen

Mikkel Korup Lauridsen

MikkelKL

Men betyr dette
A) At noen i teorien kan snappe opp passordet (og bruker og bilnavn) når vi oppgir det for å fornye nøkkelen?
B) Har det noe sikkerhetsfunksjon at vi nå også må oppgi bilnavnet? (Men det kan vel eventuelt snappes opp på samme måte?)
C) Gir dette noe annerledes sikkerhet enn App'er vi har på telefonen? I så fall, burde det vært en telefonapp som håndterte dette med passord etc?
D) Kan du snappe det opp og er det annerledes enn hva App-utvikler kan?

Takk ellers for god og nyttig data som det genereres.

PS
Hadde vært interessant om også de lagrede aksellerasjonstider med effekt etc også kunne kommet over i eksport filen. Er litt interessant å se hvordan maks effekt avtar med synkende SOC.

Det kommer lidt an på betingelserne. Hvis at der var nogen der kunne læse den data der bliver sendt mellem dig og Linkmytesla, så ville de kunne læse det. Det betyder at der er større risiko for at fx en virus kunne få adgang til data'en der bliver sendt, eller hvis at du har fornyet nøglen på et usikkert netværk.

Bilnavnet bruges kun hvis at en bruger med flere biler på samme MyTesla konto vil opsætte sin bil, ellers bruges bilnavnet ikke.

Linkmytesla fungerer lidt anderledes end appen til telefonen. Appen kommunikerer direkte med Tesla's servere for at få en token, som bruges til at hente data fra bilen. På Linkmytesla sendes kodeord/brugernavn først til Linkmytesla fra din browser, og så videre til Tesla's servere. Grunden til dette er, som forklaret i tidligere kommentar, at der også skal sendes en speciel key og secret, som jeg af respekt til Tesla ikke vil lægge frit fremme i koden.

Jeg kunne i princippet godt snappe det op, men så længe at Tesla ikke frigiver en offentlig API er der ikke så meget jeg kan gøre for at undgå at loginoplysninger først skal forbi Linkmytesla's server, uden at frigive denne key og secret fra Tesla. Apps på telefonen vil som regel gemme disse oplysninger på enheden, men det betyder også at der kun kan opsamles data når at appen kører, hvorimod at Linkmytesla i stedet opsamler data fra Linkmytesla's server, så at der ikke behøves at have en app eller lignende kørende hele tiden.


Der er flere der har foreslået accelerationstider i eksport-filen, men lige nu udregnes tiderne direkte i browseren, så de ligger derfor ikke let tilgængeligt til eksport-filen. Jeg vil dog se om jeg ikke kan finde en løsning i fremtiden eftersom at der er flere der har foreslået det.