Sv: Hvordan få lengst mulig rekkevidde

[Jimpec]

Er det kanskje greit med en ny tråd til dette cURL?

[laumb]

Helt enig!
Har splittet ut.

[PHsigP85]

Generelt nettvett: Skriv aldri inn brukernavn/passord på nettsider som ikke er offisielle og som ikke kjører https kryptering. Man vet aldri om nettsiden eller andre snapper opp brukernavnet og passordet.

Til de av dere som har brukt denne tjenesten vil jeg anbefalle dere å bytte passord ASAP!

Bytta seff passord først og så tilbake etterpå. Men sikkert på sin plass med litt generelt nettvett.

[thoberre]

Jeg har laget en primitiv webside som spør for deg her :
http://tesla-web.herokuapp.com

Generelt nettvett: Skriv aldri inn brukernavn/passord på nettsider som ikke er offisielle og som ikke kjører https kryptering. Man vet aldri om nettsiden eller andre snapper opp brukernavnet og passordet.

Til de av dere som har brukt denne tjenesten vil jeg anbefalle dere å bytte passord ASAP!

Det er et godt råd, og jeg oppdaterte linken til https://tesla-web.herokuapp.com

Men det er helt korrekt at man ikke har noen garantier for hva som skjer med brukernavn/passord i slike tilfeller. Så bruk den på egen risiko, og med et midlertidig MyTesla passord.

(selv om jeg har gjort meg flid med å ikke lagre dette i logger, databaser eller annet)

Er du usikker, så la det være - og vent på at bilen kommer i garasjen med iPhone appen koplet opp

[sindrej]

med iPhone appen koplet opp

Android applikasjonen mener du vel 

Må være endel Applefolk her, ser jo ofte konsollen i TMS omtalt som "iPaden" også.  Skal en pirke litt så er den faktisk mye nærmere Android siden den kjører Linux 

[Øyvind.h]

Skal en pirke litt så er den faktisk mye nærmere Android siden den kjører Linux 

Mtp. tregheten og hakkingen man opplever eks ved surfing er jeg helt enig i at dette er nærmere Android enn iOS!

[ohh]

Skal en pirke litt så er den faktisk mye nærmere Android siden den kjører Linux 

Mtp. tregheten og hakkingen man opplever eks ved surfing er jeg helt enig i at dette er nærmere Android enn iOS!

.   

[laumb]

Android applikasjonen mener du vel 

Kan være han mener iPhone.
Jeg har lastet ned iPhone appen fra US store.

[luffe]

Det spekuleres i at REST API'et til Model S ikke følger standarder for autentisering og dermed er åpent for hacking: http://broadcast.oreilly.com/2013/08/authentication-flaws-in-the-tesla-model-s-rest-api.html

Pass godt på Tesla credentials mao!

[Amoss]

Det spekuleres i at REST API'et til Model S ikke følger standarder for autentisering og dermed er åpent for hacking: http://broadcast.oreilly.com/2013/08/authentication-flaws-in-the-tesla-model-s-rest-api.html

Pass godt på Tesla credentials mao!

Les debatten om dette her: http://www.teslamotors.com/no_NO/forum/forums/flaws-rest-api-authentication
Les spesielt kommentaren til bcorob på side 1, det summerer ganske godt opp situasjonen

bcorob | 22. August 2013

The current API is not meant for public consumption. The items you clarify as "major" issues would theoretically exist if Tesla intended for 3rd parties to access the API. As it stands, the API exists only for 1st party Tesla apps to use.

Yes, I know the API has been reverse engineered.
Yes, I know there are several unofficial apps/services already in existence.
Yes, I know these things provide value to users.

But in the same way that someone constructing a house might temporarily use a staircase before the handrails are installed or the doors are locked, the API as it exists today is effectively for internal consumption of Tesla-authorized apps only. It doesn't need OAuth or cataloging of applications or revoking access YET, because Tesla doesn't intend for you to give your password to any other party. Any user that does acts at his own risk. And any user that finds that risk unacceptable can instantly nullify any negative effects by simply turning off remote access in the car.

Complaining about the lack of security for 3rd party apps at this stage doesn't seem to be fruitful, and worse, might be construed as scaremongering. We all know Tesla has scrambled to make the car and remote access functionality available to us in record time. I'm glad they've managed to cobble together a functional API that allows their own first-party apps to work, and it does so in a secure manner. There is no API weakness that allows a password to be stolen or a user to be impersonated. The only risk lies in a user giving a password to some other unauthorized party. What we have right now is a house with one lock and key. It works and it's secure. Tesla can never prevent you from giving your key to someone else, and pretending that this is a security flaw in the API is nothing more than highfalutin grandstanding.

So instead of complaining that all the bedrooms and bathrooms aren't finished yet, how about we just enjoy the fact that we're able to use the kitchen and living room, and wait and see what Tesla does if and when they do open up the API for public use?

[thoberre]

Det spekuleres i at REST API'et til Model S ikke følger standarder for autentisering og dermed er åpent for hacking: http://broadcast.oreilly.com/2013/08/authentication-flaws-in-the-tesla-model-s-rest-api.html

Pass godt på Tesla credentials mao!

Les debatten om dette her: http://www.teslamotors.com/no_NO/forum/forums/flaws-rest-api-authentication
Les spesielt kommentaren til bcorob på side 1, det summerer ganske godt opp situasjonen

bcorob | 22. August 2013

The current API is not meant for public consumption. The items you clarify as "major" issues would theoretically exist if Tesla intended for 3rd parties to access the API. As it stands, the API exists only for 1st party Tesla apps to use.

Yes, I know the API has been reverse engineered.
Yes, I know there are several unofficial apps/services already in existence.
Yes, I know these things provide value to users.

But in the same way that someone constructing a house might temporarily use a staircase before the handrails are installed or the doors are locked, the API as it exists today is effectively for internal consumption of Tesla-authorized apps only. It doesn't need OAuth or cataloging of applications or revoking access YET, because Tesla doesn't intend for you to give your password to any other party. Any user that does acts at his own risk. And any user that finds that risk unacceptable can instantly nullify any negative effects by simply turning off remote access in the car.

Complaining about the lack of security for 3rd party apps at this stage doesn't seem to be fruitful, and worse, might be construed as scaremongering. We all know Tesla has scrambled to make the car and remote access functionality available to us in record time. I'm glad they've managed to cobble together a functional API that allows their own first-party apps to work, and it does so in a secure manner. There is no API weakness that allows a password to be stolen or a user to be impersonated. The only risk lies in a user giving a password to some other unauthorized party. What we have right now is a house with one lock and key. It works and it's secure. Tesla can never prevent you from giving your key to someone else, and pretending that this is a security flaw in the API is nothing more than highfalutin grandstanding.

So instead of complaining that all the bedrooms and bathrooms aren't finished yet, how about we just enjoy the fact that we're able to use the kitchen and living room, and wait and see what Tesla does if and when they do open up the API for public use?

*slightly nerd alert*

Det er jeg som har laget web-interfacet for sjekken mot REST APIet.

Ikke at det normalt bør tas for god fisk, men jeg kan berolige de som har sjekket mot dette web-interfacet med at de kan være helt trygge på at deres credentials i dette tilfellet ikke er lagret noe sted, og ikke er tilgjengelig for noen i noe større grad en ved bruk på MyTesla. Generelt bør folk tenke seg godt om før man logger på 3. parts tjenester, tror jeg informerer helt greit om farene før innlogging.

Jeg har lekt en del med reverse-engineering informasjonen som er lagt ut, og en av de tingene jeg som hobbykoder stusset litt på var nettopp svakheten/enkelheten i autentiseringen. Dette er i utgangspunktet en svakhet uansett om man bruker offisiell app eller 3. parts software. Det som er mest kritisk med det er at man etter pålogging mottar en informasjonskapsel som er gyldig, etter hva jeg forstår, i 3 mnd uavhengig om man bytter passord på MyTesla. Så om denne kommer på avveie må man faktisk skru av Remote Access i tre måneder for å sikre seg mot uautorisert aksess.

Et godt tips dersom man er interessert i å bruke klienter laget av andre en Tesla er å kompilere prosjekter som har lagt ut offentlig. Da har man - og andre, kanskje mer kompetente mennesker - mulighet for å sjekke kildekoden for svakheter eller skadelig kode.

Det har kommet en java app (cross platform) som heter VisibleTesla som virker lovende, de har lagt ut koden offentlig....

Forøvrig har jeg skrevet denne websiden for moro skyld, men også fordi jeg egentlig oftere sitter med laptopen foran meg enn telefonen. Jeg vil da ha muligheten til å skru på air condition, sjekke ladestatus e.l. fra laptopen uten å måtte reise meg for å hente telefonen Nyere versjoner av web-interfacet kan gjøre dette, men jeg kjører det i et lukket nett

cURL kommandoene er akkurat like trygge/utrygge å kjøre som de offisielle appene. Men husk at passordet kan legge seg i historikken på maskinen du bruker.