In het draadje over het slim laden via De Bron wordt terecht gesproken over de (on)veiligheid om via een API toegang te geven tot je Tesla.
Ik ben geen informaticus (anders dan algemene kennis over informatica opgedaan aan de TH Delft), maar vind dit toch wel een interessant onderwerp.
De tegens zijn fors: als iemand er met je Tesla vandoor gaat en je account zou overnemen, ben je behoorlijk in de aap gelogeerd.
Maar: het levert ook heel veel mogelijkheden op.
Voor een API die met je Tesla over laden communiceert lijkt mij dat er op dit moment geen andere weg is dan je account-gegevens prijs te geven, tenzij Elon cs een extra password invoert waarmee je slechts toegang krijgt tot een specifiek deel van de auto. Maar dat zal niet hoog op het prioriteiten-lijstje van Elon staan.
De maker van de app kan lijkt mij wel extra veiligheden inbouwen, zoals een ontkoppeling tussen inloggegevens voor de Tesla aan de ene kant en het VIN-nummer en naam-/adresgegevens aan de andere kant via een offline systeem.
Dan kan een hacker die bij de auto staat en die het bestand van usernames en passwords zou hebben kunnen hacken, slechts gissen welke combinatie bij die specifieke Tesla hoort? Daar hoort dan wel natuurlijk een actief beleid bij om gebruikers direct te informeren bij een hack van het usernames/passwords bestand. Maar hoe weet die dan of hij gehackt is of niet? En dan gaat het op vertrouwen van de leverancier van de API aankomen en dat is een lastige, cq onbetrouwbare garantie?
Ook kan ik mij voorstellen dat dat nogal de nodige informatica-hoofdbrekens zal opleveren om zoiets met veel ingebouwde veiligheden in te bouwen. Los daarvan: 100% veiligheid bestaat natuurlijk niet.
Toch legt hier een interessante vraag voor ons allen, die overwegen van een API als die van De Bron of die van andere leveranciers gebruik te maken.
Let the discussion begin.
Wat is volgens experts en gebruikers de beste manier om dit te tackelen en weten we wel hoe dit geregeld is bij API's die er in gebruik zijn?
Ik ben geen informaticus (anders dan algemene kennis over informatica opgedaan aan de TH Delft), maar vind dit toch wel een interessant onderwerp.
De tegens zijn fors: als iemand er met je Tesla vandoor gaat en je account zou overnemen, ben je behoorlijk in de aap gelogeerd.
Maar: het levert ook heel veel mogelijkheden op.
Voor een API die met je Tesla over laden communiceert lijkt mij dat er op dit moment geen andere weg is dan je account-gegevens prijs te geven, tenzij Elon cs een extra password invoert waarmee je slechts toegang krijgt tot een specifiek deel van de auto. Maar dat zal niet hoog op het prioriteiten-lijstje van Elon staan.
De maker van de app kan lijkt mij wel extra veiligheden inbouwen, zoals een ontkoppeling tussen inloggegevens voor de Tesla aan de ene kant en het VIN-nummer en naam-/adresgegevens aan de andere kant via een offline systeem.
Dan kan een hacker die bij de auto staat en die het bestand van usernames en passwords zou hebben kunnen hacken, slechts gissen welke combinatie bij die specifieke Tesla hoort? Daar hoort dan wel natuurlijk een actief beleid bij om gebruikers direct te informeren bij een hack van het usernames/passwords bestand. Maar hoe weet die dan of hij gehackt is of niet? En dan gaat het op vertrouwen van de leverancier van de API aankomen en dat is een lastige, cq onbetrouwbare garantie?
Ook kan ik mij voorstellen dat dat nogal de nodige informatica-hoofdbrekens zal opleveren om zoiets met veel ingebouwde veiligheden in te bouwen. Los daarvan: 100% veiligheid bestaat natuurlijk niet.
Toch legt hier een interessante vraag voor ons allen, die overwegen van een API als die van De Bron of die van andere leveranciers gebruik te maken.
Let the discussion begin.
Wat is volgens experts en gebruikers de beste manier om dit te tackelen en weten we wel hoe dit geregeld is bij API's die er in gebruik zijn?