Password im Klartext sichtbar!

[ccnacht]

Guten Abend,

ist bekannt, dass man im SoC-Module des BMW i3 dessen CD-Password im Klartext einfach aufrufen und sehen kann?!

Code: Alles auswählen

http://192.168.xxx.xxx/openWB/modules/soc_i3/auth.json

Und dann sieht man:

Code: Alles auswählen

username	"Beispieluser"
password	"Beispielpassword"
vehicle	"dieVIN"

Danke fürs prüfen und anpassen.

[aiole]

Ich, als php-DAU, hätte jetzt gesagt - ja - ist bekannt.
Deshalb ist openWB auch nur im heimischen LAN zu Hause, um sich vorerst nicht mit Verschlüsselung und Co. und regelfremden features beschäftigen zu müssen. Aber safety first - I know.

Die Frage wird sein, wie die Daten zum Sever gehen und wenn's da unverschlüsselt zugeht, wär's blöd.
Es wäre hilfreich, wenn Du Dich dort einbringst, um es ggf. besser und sicherer zu integrieren. Im GE-Forum gibt es einen thread für die i3-Abfragen. Ich denke, dass es der hier ist:
https://www.goingelectric.de/forum/view ... 72&t=21224

VG U x I

[openWB]

Ich habe für die nächste Beta mal eine .htaccess hinzugefügt.
Dann sind nur noch html/php Dateien aufrufbar.

Das ist aber dennoch eine "trügerische" Sicherheit.

OpenWB ist für den internen Gebrauch ausgelegt.
Klar, man möchte ggf. Nachkömmlinge u.a. nicht ganz offen seine Daten präsentieren.
Da aber Http (nicht https) genutzt wird, kann man das im Zweifel immer noch abfangen.

In dem Zuge wäre ich dann auch für ein (optionales) Passwort für die Einstellungen.