Seite 1 von 1
Password im Klartext sichtbar!
Verfasst: Mo Mär 11, 2019 8:03 pm
von ccnacht
Guten Abend,
ist bekannt, dass man im SoC-Module des BMW i3 dessen CD-Password im Klartext einfach aufrufen und sehen kann?!
Code: Alles auswählen
http://192.168.xxx.xxx/openWB/modules/soc_i3/auth.json
Und dann sieht man:
Code: Alles auswählen
username "Beispieluser"
password "Beispielpassword"
vehicle "dieVIN"
Danke fürs prüfen und anpassen.
Re: Password im Klartext sichtbar!
Verfasst: Mo Mär 11, 2019 11:11 pm
von aiole
Ich, als php-DAU, hätte jetzt gesagt - ja - ist bekannt.
Deshalb ist openWB auch nur im heimischen LAN zu Hause, um sich vorerst nicht mit Verschlüsselung und Co. und regelfremden features beschäftigen zu müssen. Aber safety first - I know.
Die Frage wird sein, wie die Daten zum Sever gehen und wenn's da unverschlüsselt zugeht, wär's blöd.
Es wäre hilfreich, wenn Du Dich dort einbringst, um es ggf. besser und sicherer zu integrieren. Im GE-Forum gibt es einen thread für die i3-Abfragen. Ich denke, dass es der hier ist:
https://www.goingelectric.de/forum/view ... 72&t=21224
VG U x I
Re: Password im Klartext sichtbar!
Verfasst: Di Mär 12, 2019 1:35 pm
von openWB
Ich habe für die nächste Beta mal eine .htaccess hinzugefügt.
Dann sind nur noch html/php Dateien aufrufbar.
Das ist aber dennoch eine "trügerische" Sicherheit.
OpenWB ist für den internen Gebrauch ausgelegt.
Klar, man möchte ggf. Nachkömmlinge u.a. nicht ganz offen seine Daten präsentieren.
Da aber Http (nicht https) genutzt wird, kann man das im Zweifel immer noch abfangen.
In dem Zuge wäre ich dann auch für ein (optionales) Passwort für die Einstellungen.