Bli medlem i Norsk elbilforening og støtt driften av Elbilforum. Som medlem får du i tillegg startpakke, medlemsfordeler og gode tips om elbil og lading. Du blir med i et fellesskap som jobber for mindre utslipp fra veitrafikken. Medlemskap koster 485 kroner per år. elbil.no/medlemskap
Hovedmeny

Sv: Hvordan få lengst mulig rekkevidde

Startet av thoberre, onsdag 17. juli 2013, klokken 18:01

« forrige - neste »

Jimpec

Er det kanskje greit med en ny tråd til dette cURL?
2015 Model S P85D
X - 2013 Model S P85+

laumb


PHsigP85

Sitat fra: M@Do på torsdag 04. juli 2013, klokken 08:50

Generelt nettvett: Skriv aldri inn brukernavn/passord på nettsider som ikke er offisielle og som ikke kjører https kryptering. Man vet aldri om nettsiden eller andre snapper opp brukernavnet og passordet.

Til de av dere som har brukt denne tjenesten vil jeg anbefalle dere å bytte passord ASAP!

Bytta seff passord først og så tilbake etterpå. Men sikkert på sin plass med litt generelt nettvett.
Lykkelig eier av Model S Signature siden aug 13.
Spent og utålmodig Model X #114.

thoberre

Sitat fra: M@Do på torsdag 04. juli 2013, klokken 08:50
Sitat fra: thoberre på onsdag 03. juli 2013, klokken 22:39
Jeg har laget en primitiv webside som spør for deg her :
http://tesla-web.herokuapp.com


Generelt nettvett: Skriv aldri inn brukernavn/passord på nettsider som ikke er offisielle og som ikke kjører https kryptering. Man vet aldri om nettsiden eller andre snapper opp brukernavnet og passordet.

Til de av dere som har brukt denne tjenesten vil jeg anbefalle dere å bytte passord ASAP!

Det er et godt råd, og jeg oppdaterte linken til https://tesla-web.herokuapp.com

Men det er helt korrekt at man ikke har noen garantier for hva som skjer med brukernavn/passord i slike tilfeller. Så bruk den på egen risiko, og med et midlertidig MyTesla passord.

(selv om jeg har gjort meg flid med å ikke lagre dette i logger, databaser eller annet)

Er du usikker, så la det være - og vent på at bilen kommer i garasjen med iPhone appen koplet opp :)
--

Model S Performance Signature S433 Black All-In
Model X TBD P206 upgrade til Signature på vei

sindrej

Sitat fra: thoberre på torsdag 04. juli 2013, klokken 11:01
med iPhone appen koplet opp :)
Android applikasjonen mener du vel  :P

Må være endel Applefolk her, ser jo ofte konsollen i TMS omtalt som "iPaden" også.  Skal en pirke litt så er den faktisk mye nærmere Android siden den kjører Linux  :)

Øyvind.h

Sitat fra: sindrej på torsdag 04. juli 2013, klokken 12:23
Skal en pirke litt så er den faktisk mye nærmere Android siden den kjører Linux  :)
Mtp. tregheten og hakkingen man opplever eks ved surfing er jeg helt enig i at dette er nærmere Android enn iOS!
Mercedes EQC AMG 2020
Model Y Performance bestilt
x Tesla Model X90D 2016
x Kia eNiro 2019
x Tesla Model S 90D 2016
x Nissan Leaf mars 2012
x Model S aug 2013

ohh

Sitat fra: Øyvind.h på torsdag 04. juli 2013, klokken 12:26
Sitat fra: sindrej på torsdag 04. juli 2013, klokken 12:23
Skal en pirke litt så er den faktisk mye nærmere Android siden den kjører Linux  :)
Mtp. tregheten og hakkingen man opplever eks ved surfing er jeg helt enig i at dette er nærmere Android enn iOS!
.    :)
Tesla Model S Sig P85+ (solgt)
Tesla Model S 85D (Solgt)
Tesla Model X P90DL (P100DL)
Reservasjon Model 3

laumb

Sitat fra: sindrej på torsdag 04. juli 2013, klokken 12:23
Android applikasjonen mener du vel  :P

Kan være han mener iPhone.
Jeg har lastet ned iPhone appen fra US store. :D

luffe

Det spekuleres i at REST API'et til Model S ikke følger standarder for autentisering og dermed er åpent for hacking: http://broadcast.oreilly.com/2013/08/authentication-flaws-in-the-tesla-model-s-rest-api.html

Pass godt på Tesla credentials mao!
Stolt eier av S85 Dolphin Grey :)

Amoss

Sitat fra: luffe på fredag 23. august 2013, klokken 13:11
Det spekuleres i at REST API'et til Model S ikke følger standarder for autentisering og dermed er åpent for hacking: http://broadcast.oreilly.com/2013/08/authentication-flaws-in-the-tesla-model-s-rest-api.html

Pass godt på Tesla credentials mao!

Les debatten om dette her: http://www.teslamotors.com/no_NO/forum/forums/flaws-rest-api-authentication
Les spesielt kommentaren til bcorob på side 1, det summerer ganske godt opp situasjonen :)

Sitatbcorob | 22. August 2013

SitatThe current API is not meant for public consumption. The items you clarify as "major" issues would theoretically exist if Tesla intended for 3rd parties to access the API. As it stands, the API exists only for 1st party Tesla apps to use.

Yes, I know the API has been reverse engineered.
Yes, I know there are several unofficial apps/services already in existence.
Yes, I know these things provide value to users.

But in the same way that someone constructing a house might temporarily use a staircase before the handrails are installed or the doors are locked, the API as it exists today is effectively for internal consumption of Tesla-authorized apps only. It doesn't need OAuth or cataloging of applications or revoking access YET, because Tesla doesn't intend for you to give your password to any other party. Any user that does acts at his own risk. And any user that finds that risk unacceptable can instantly nullify any negative effects by simply turning off remote access in the car.

Complaining about the lack of security for 3rd party apps at this stage doesn't seem to be fruitful, and worse, might be construed as scaremongering. We all know Tesla has scrambled to make the car and remote access functionality available to us in record time. I'm glad they've managed to cobble together a functional API that allows their own first-party apps to work, and it does so in a secure manner. There is no API weakness that allows a password to be stolen or a user to be impersonated. The only risk lies in a user giving a password to some other unauthorized party. What we have right now is a house with one lock and key. It works and it's secure. Tesla can never prevent you from giving your key to someone else, and pretending that this is a security flaw in the API is nothing more than highfalutin grandstanding.

So instead of complaining that all the bedrooms and bathrooms aren't finished yet, how about we just enjoy the fact that we're able to use the kitchen and living room, and wait and see what Tesla does if and when they do open up the API for public use?
"Your Model 3 was reserved on 31/03/2016."
ReservationId 364902

thoberre

Sitat fra: Amoss på fredag 23. august 2013, klokken 15:15
Sitat fra: luffe på fredag 23. august 2013, klokken 13:11
Det spekuleres i at REST API'et til Model S ikke følger standarder for autentisering og dermed er åpent for hacking: http://broadcast.oreilly.com/2013/08/authentication-flaws-in-the-tesla-model-s-rest-api.html

Pass godt på Tesla credentials mao!

Les debatten om dette her: http://www.teslamotors.com/no_NO/forum/forums/flaws-rest-api-authentication
Les spesielt kommentaren til bcorob på side 1, det summerer ganske godt opp situasjonen :)

Sitatbcorob | 22. August 2013

SitatThe current API is not meant for public consumption. The items you clarify as "major" issues would theoretically exist if Tesla intended for 3rd parties to access the API. As it stands, the API exists only for 1st party Tesla apps to use.

Yes, I know the API has been reverse engineered.
Yes, I know there are several unofficial apps/services already in existence.
Yes, I know these things provide value to users.

But in the same way that someone constructing a house might temporarily use a staircase before the handrails are installed or the doors are locked, the API as it exists today is effectively for internal consumption of Tesla-authorized apps only. It doesn't need OAuth or cataloging of applications or revoking access YET, because Tesla doesn't intend for you to give your password to any other party. Any user that does acts at his own risk. And any user that finds that risk unacceptable can instantly nullify any negative effects by simply turning off remote access in the car.

Complaining about the lack of security for 3rd party apps at this stage doesn't seem to be fruitful, and worse, might be construed as scaremongering. We all know Tesla has scrambled to make the car and remote access functionality available to us in record time. I'm glad they've managed to cobble together a functional API that allows their own first-party apps to work, and it does so in a secure manner. There is no API weakness that allows a password to be stolen or a user to be impersonated. The only risk lies in a user giving a password to some other unauthorized party. What we have right now is a house with one lock and key. It works and it's secure. Tesla can never prevent you from giving your key to someone else, and pretending that this is a security flaw in the API is nothing more than highfalutin grandstanding.

So instead of complaining that all the bedrooms and bathrooms aren't finished yet, how about we just enjoy the fact that we're able to use the kitchen and living room, and wait and see what Tesla does if and when they do open up the API for public use?

*slightly nerd alert*

Det er jeg som har laget web-interfacet for sjekken mot REST APIet.

Ikke at det normalt bør tas for god fisk, men jeg kan berolige de som har sjekket mot dette web-interfacet med at de kan være helt trygge på at deres credentials i dette tilfellet ikke er lagret noe sted, og ikke er tilgjengelig for noen i noe større grad en ved bruk på MyTesla. Generelt bør folk tenke seg godt om før man logger på 3. parts tjenester, tror jeg informerer helt greit om farene før innlogging.

Jeg har lekt en del med reverse-engineering informasjonen som er lagt ut, og en av de tingene jeg som hobbykoder stusset litt på var nettopp svakheten/enkelheten i autentiseringen. Dette er i utgangspunktet en svakhet uansett om man bruker offisiell app eller 3. parts software. Det som er mest kritisk med det er at man etter pålogging mottar en informasjonskapsel som er gyldig, etter hva jeg forstår, i 3 mnd uavhengig om man bytter passord på MyTesla. Så om denne kommer på avveie må man faktisk skru av Remote Access i tre måneder for å sikre seg mot uautorisert aksess.

Et godt tips dersom man er interessert i å bruke klienter laget av andre en Tesla er å kompilere prosjekter som har lagt ut offentlig. Da har man - og andre, kanskje mer kompetente mennesker - mulighet for å sjekke kildekoden for svakheter eller skadelig kode.

Det har kommet en java app (cross platform) som heter VisibleTesla som virker lovende, de har lagt ut koden offentlig....

Forøvrig har jeg skrevet denne websiden for moro skyld, men også fordi jeg egentlig oftere sitter med laptopen foran meg enn telefonen. Jeg vil da ha muligheten til å skru på air condition, sjekke ladestatus e.l. fra laptopen uten å måtte reise meg for å hente telefonen :) Nyere versjoner av web-interfacet kan gjøre dette, men jeg kjører det i et lukket nett ;)

cURL kommandoene er akkurat like trygge/utrygge å kjøre som de offisielle appene. Men husk at passordet kan legge seg i historikken på maskinen du bruker.


   
--

Model S Performance Signature S433 Black All-In
Model X TBD P206 upgrade til Signature på vei

© 2024, Norsk elbilforening   |   Personvern, vilkår og informasjonskapsler (cookies)   |   Organisasjonsnummer: 982 352 428 MVA