Password im Klartext sichtbar!

Fragen zur Nutzung, Features, usw..
Antworten
ccnacht
Beiträge: 39
Registriert: Mi Feb 20, 2019 10:08 am

Password im Klartext sichtbar!

Beitrag von ccnacht »

Guten Abend,

ist bekannt, dass man im SoC-Module des BMW i3 dessen CD-Password im Klartext einfach aufrufen und sehen kann?! :shock:

Code: Alles auswählen

http://192.168.xxx.xxx/openWB/modules/soc_i3/auth.json
Und dann sieht man:

Code: Alles auswählen

username	"Beispieluser"
password	"Beispielpassword"
vehicle	"dieVIN"
Danke fürs prüfen und anpassen.
aiole
Beiträge: 7743
Registriert: Mo Okt 08, 2018 4:51 pm
Has thanked: 17 times
Been thanked: 31 times

Re: Password im Klartext sichtbar!

Beitrag von aiole »

Ich, als php-DAU, hätte jetzt gesagt - ja - ist bekannt.
Deshalb ist openWB auch nur im heimischen LAN zu Hause, um sich vorerst nicht mit Verschlüsselung und Co. und regelfremden features beschäftigen zu müssen. Aber safety first - I know.

Die Frage wird sein, wie die Daten zum Sever gehen und wenn's da unverschlüsselt zugeht, wär's blöd.
Es wäre hilfreich, wenn Du Dich dort einbringst, um es ggf. besser und sicherer zu integrieren. Im GE-Forum gibt es einen thread für die i3-Abfragen. Ich denke, dass es der hier ist:
https://www.goingelectric.de/forum/view ... 72&t=21224

VG U x I
openWB
Site Admin
Beiträge: 8492
Registriert: So Okt 07, 2018 1:50 pm
Has thanked: 1 time
Been thanked: 25 times

Re: Password im Klartext sichtbar!

Beitrag von openWB »

Ich habe für die nächste Beta mal eine .htaccess hinzugefügt.
Dann sind nur noch html/php Dateien aufrufbar.

Das ist aber dennoch eine "trügerische" Sicherheit.

OpenWB ist für den internen Gebrauch ausgelegt.
Klar, man möchte ggf. Nachkömmlinge u.a. nicht ganz offen seine Daten präsentieren.
Da aber Http (nicht https) genutzt wird, kann man das im Zweifel immer noch abfangen.

In dem Zuge wäre ich dann auch für ein (optionales) Passwort für die Einstellungen.
Supportanfragen bitte NICHT per PN stellen.
Hardwareprobleme bitte über die Funktion Debug Daten senden mitteilen oder per Mail an support@openwb.de
Antworten