blincoln skrev:
Håller helt med, Teslas (inofficiella) API är osäkert. Du kan inte gå in och ta bort tokens som du skapat. Du måste ge lösenordet till diverse tjänster som vill skapa en token.
I ABRP sparas bara token - inte login eller lösenord - och den sparas bara i din egen browser, inte på ABRPs server. Du kan också mata in en färdig MyTesla-token om du har egen kod eller ett verktyg som loggar in åt dig och ger dig en Tesla-token. Med en MyTesla-token kan man inte låsa upp bilen (såvitt jag vet), och den förfaller efter ett par månader. Men det är klart att du har ingen möjlighet att kontrollera vilken kod som egentligen körs på ABRP-servern och vad den gör.
Det jag funderar på är att skapa någon slags mycket simpelt köra-på-egen-dator-script (open source så alla kan se vad det gör) som loggar in på MyTesla och skapar en token som kan matas in i t.ex. ABRP. Skulle det göra situationen bättre?
(Det som egentligen är rätt lösning är att Tesla borde ha ett lokalt browser-API i bilen där websidor kan läsa ut bilens nuvarande tillstånd. Att gå via modemet till Teslas server för att periodiskt fråga var bilen är osv är ju bara dumt.)
Låter jo ändå betryggande att Token bara sparas i browser, men det ändrar jo inte på det faktum att man måste ge "tjänsten" user/pwd". Jag gissar att en illasinnat tjänst kan spara ner dessa lokalt, innan dom skickas vidare till Tesla?
Nu pratar jag såklart inte om ABRP specifikt, men mer generellt. Det finns jo en uppsjö av tjänster som logger in mot Tesla API'et.
Jag använder Strava (en träningsapp) mycket, och om man vil använda det API'et, som kommer man jo till en Strava inloggningssida, som sedan ger en Token till den appen som vill använda Strava data. Samma är det väl med alla som förlitar sig på Facebook/Google/etc. för autentisering? Det känns som rätt sätt att göra det på.
Din ide om en "token generator" låter som en bra grej, och ett steg i rätt riktning. Tyvärr lär jo inte alla andra tjänster erbjuda inloggningen med Token.
Hoppas att Tesla tar tag i detta. Båda rörande säkerheten, och in-car API'et som du föreslår!