Hackad Tesla M3SR+/Stulet RN

[Dagfinn]

Att du inte förstår skillnaden mellan en teknisk nyckel och ett kundnummer gör att åtminstone inte jag skulle anställa dig, så då slipper jag sparka dig

Lol ok, du har fått rätt många försök till att förklara dig och inte lyckats så jag skulle nog inte vilja jobba för dig heller. Vi kanske ska låta det vara med det.

[holden]

Att du inte förstår skillnaden mellan en teknisk nyckel och ett kundnummer gör att åtminstone inte jag skulle anställa dig, så då slipper jag sparka dig

Lol ok, du har fått rätt många försök till att förklara dig och inte lyckats så jag skulle nog inte vilja jobba för dig heller. Vi kanske ska låta det vara med det.

Ja, du hamnar i kategorin förväntade samarbetsproblem.

[Mickep]

Är väl någon som hittat ett kryphål.
Att tesla överför ägandeskapet är inte alls bra. (sedan bortser vi från integritetskränkningen med kamerorna). men att någon annan av misstag eller illvilja kan öppna frunk och bagage (och kanske tom köra bilen fram och tillbaka i garaget är kanske ännu värre)

[Dagfinn]

Att du inte förstår skillnaden mellan en teknisk nyckel och ett kundnummer gör att åtminstone inte jag skulle anställa dig, så då slipper jag sparka dig

Lol ok, du har fått rätt många försök till att förklara dig och inte lyckats så jag skulle nog inte vilja jobba för dig heller. Vi kanske ska låta det vara med det.

Ja, du hamnar i kategorin förväntade samarbetsproblem.

Sista utväg för folk som inte kan argumentera för sin åsikt är personangrepp. Inte en enda gång har du svarat ordentligt på frågan om varför man konsekvent bör få sparken om man ger ut en primärnyckel till kund, vilket får mig att tro att du inte riktigt vet själv heller.

[MWall]

Att du inte förstår skillnaden mellan en teknisk nyckel och ett kundnummer gör att åtminstone inte jag skulle anställa dig, så då slipper jag sparka dig

Jag förstår nog inte riktigt heller är jag rädd. Termerna som används verkar vara surrogatnyckel och naturlig nyckel. Dvs om det är något "påhittat" eller nåt som har en naturlig koppling till dataposten.

Problemet är väl att det är svårare att garantera att en naturlig nyckel (som ett kundnummer) kommer fortsätta vara unik. Och så blir det lite krångligare att byta kundnummer på kunden om man nu skulle vilja göra det av någon anledning. Men säkerhetsmässigt? Då måste man nästan ha gjort nåt annat fel väl? En obehörig användare ska väl inte ens kunna förstå vad som används som primärnyckel? Hur skulle det framgå?

Dock är jag lite mer ödmjuk än båda er två känner jag. Jag vet inte tillräckligt för att vara så kategorisk som ni verkar vara. Jag är en enkel bread&butter-konsult som gör mina timmar (nåja). Men jag har iaf 23 års professionell erfarenhet av databaser och har sett många olika exempel. Både bra och dåligt.

[Dagfinn]

Kommunicerar man primärnycklar i databasen med kunderna borde man sparka arkitekten.

Det bastanta påståendet får du gärna förklara närmare.

En teknisk nyckel ska inte hålla affärskritisk information.

Det var ytterst kortfattat. Varför inte? Ingenting är facit, ej heller detta, och om så vore fallet vet jag om en hel del arkitekter för dom största affärssystemen (från bl.a. Microsoft) som enligt dig borde kickas.

IT-branschen är full av folk som vet bäst. Det är nästan det sämsta med hela IT-svängen.

Det är inte bara IT-branschen tyvärr. Hur ofta hör man inte en elektriker säga "vem fan har gjort det här???". Dom finns överallt, fanboys av en viss modell som bara bestämt sig för att sitt sätt är det korrekta utan att egentligen kunna motivera det med något annat än att det känns rätt. Och sedan idiotförklara alla som inte håller med.

[Dagfinn]

En obehörig användare ska väl inte ens kunna förstå vad som används som primärnyckel? Hur skulle det framgå?

Nyckelordet är "obehörig". En primärnyckel, foreign key, teknisk nyckel eller vad det nu är för typ av nyckel är ju inte som en dörrnyckel, den låser inte upp ett skit. Om vi går på kund-exemplet, om man nu kan gissa sig till kolumnvärden och detta är det enda som krävs för att hämta data (dvs allt är vidöppet utan behörighetskontroll) kan man lika gärna gissa på namn, adresser, mobilnummer etc. Att veta kund-id, eller primärnyckeln om det är ett separat okänt värde, gör ju ingen skillnad säkerhetsmässigt.

[MWall]

En obehörig användare ska väl inte ens kunna förstå vad som används som primärnyckel? Hur skulle det framgå?

Nyckelordet är "obehörig". En primärnyckel, foreign key, teknisk nyckel eller vad det nu är för typ av nyckel är ju inte som en dörrnyckel, den låser inte upp ett skit. Om vi går på kund-exemplet, om man nu kan gissa sig till kolumnvärden och detta är det enda som krävs för att hämta data (dvs allt är vidöppet utan behörighetskontroll) kan man lika gärna gissa på namn, adresser, mobilnummer etc. Att veta kund-id, eller primärnyckeln om det är ett separat okänt värde, gör ju ingen skillnad säkerhetsmässigt.

Höll på att skriva ett inlägg förut om att en PK ju faktiskt inte är en nyckel i mening att "låsa upp" någonting utan bara något unikt som ska identifiera dataposten. Men sen blev jag rädd att framstå som dum.

Läste om Stockholm stad som gjort nån applikation där man kunde knappa in vilket id som helst i URL:en och då få upp information om andra. Tror det hade med skolan att göra. Men gör man nåt sånt har man större problem än vilken primärnyckel man har.

[Dagfinn]

En obehörig användare ska väl inte ens kunna förstå vad som används som primärnyckel? Hur skulle det framgå?

Nyckelordet är "obehörig". En primärnyckel, foreign key, teknisk nyckel eller vad det nu är för typ av nyckel är ju inte som en dörrnyckel, den låser inte upp ett skit. Om vi går på kund-exemplet, om man nu kan gissa sig till kolumnvärden och detta är det enda som krävs för att hämta data (dvs allt är vidöppet utan behörighetskontroll) kan man lika gärna gissa på namn, adresser, mobilnummer etc. Att veta kund-id, eller primärnyckeln om det är ett separat okänt värde, gör ju ingen skillnad säkerhetsmässigt.

Höll på att skriva ett inlägg förut om att en PK ju faktiskt inte är en nyckel utan bara något unikt som bara ska identifiera dataposten. Men sen blev jag rädd att framstå som dum.

Läste om Stockholm stad som gjort nån applikation där man kunde knappa in vilket id som helst i URL:en och då få upp information om andra. Tror det hade med skolan att göra. Men gör man nåt sånt har man större problem än vilken primärnyckel man har.

Precis, om man har ett värde som ska vara en ett hemligt id för att slippa autentisera sig, eller om man i den metoden skippar autentisering för att man "ju redan gjort det tidigare" är det ju katastrof om det går att gissa sig till. Då vil man ju verkligen inte ha enkla löpnummer man kan stegra sig genom. Men som jag tidigare påpekat, om detta värdet man gissar sig till är en primärnyckel eller ej är fullständigt irrelevant.

Och du är inte dum, du har helt rätt gällande primärnyckel

[BrooklynS]

Har ni kommit fram ännu till att det handlar om rysk psyops?

[Gadiel]

Vilken clowntråd detta blev alltså
Märkligt att admins låter detta fortgå då andra kan bli kickade för bagateller

[Dagfinn]

Vilken clowntråd detta blev alltså
Märkligt att admins låter detta fortgå då andra kan bli kickade för bagateller

Ingen vågar kicka oss då vi känner till nycklar och kan ta över hela forumet.

[MWall]

Vilken clowntråd detta blev alltså
Märkligt att admins låter detta fortgå då andra kan bli kickade för bagateller

Vore roligt om du klev fram den största databasexperten och drar ner byxorna på alla andra här.

[Absi]

Tror som sagt inte att den personen i Ukraina förstår vad han/hon har råkat ut för.

Har de köpt en Tesla från en skum källarfirma i ett land som inte har några Teslabutiker tror jag de vet exakt vad de råkat ut för.

Ja det är möjligt att de visste men det är inget jag kan uttala mig om.
Tänker dock att jag själv trodde att det var ett riktigt Tesla Center där när jag kollade i Tesla appen. Det var först när jag nämnde det för Tesla som de berättade att de inte har officiella center i Ukraina. Så det kan vara så att personen trodde att det var ett riktigt Tesla Center också.
Så här såg det i appen och maps första gången jag fick felet. Då var bilen i verkstaden. Själv trodde jag att det var något fel i gpsen först.

[Absi]

Är väl någon som hittat ett kryphål.
Att tesla överför ägandeskapet är inte alls bra. (sedan bortser vi från integritetskränkningen med kamerorna). men att någon annan av misstag eller illvilja kan öppna frunk och bagage (och kanske tom köra bilen fram och tillbaka i garaget är kanske ännu värre)

Nej håller med. Nu har Tesla fixat det för mig iaf och bilen har rätt ägare. Blev bara förbluffad över hur lätt det verkar vara att byta ägare.
Ja de kan ha blivit förvirrade bara. Jag minns att jag började med att låta bilen och tuta undrade varför det inte kom fram. Den ena bilen var också en vit M3 (som min) så de kanske trodde att de försökte komma åt sin egen bara.

[Gadiel]

Vilken clowntråd detta blev alltså
Märkligt att admins låter detta fortgå då andra kan bli kickade för bagateller

Vore roligt om du klev fram den största databasexperten och drar ner byxorna på alla andra här.

Ja man kanske ska gå in och döda diskussionen helt och briljera

[Gadiel]

Vilken clowntråd detta blev alltså
Märkligt att admins låter detta fortgå då andra kan bli kickade för bagateller

Ingen vågar kicka oss då vi känner till nycklar och kan ta över hela forumet.

Jag tänkte ju inte på det

[Dagfinn]

Fun fact, i phpBB (motorn till detta forum) så är user_id primärnyckel i tabellen phpbb_users. user_id är även det man ser i uri om man kikar på en profil, som min tex: memberlist.php?mode=viewprofile&u=12450

Tänka sig, användarid som primärnyckel och dessutom ett löpnummer och publikt för alla att skåda.

[Fredrik j]

Tror som sagt inte att den personen i Ukraina förstår vad han/hon har råkat ut för.

Har de köpt en Tesla från en skum källarfirma i ett land som inte har några Teslabutiker tror jag de vet exakt vad de råkat ut för.

Det verkar ju finnas en Teslaklubb i Ukraina. Tydligen köper man bilar i grannlandet Polen.
Har google berättat för mig.

[tobias_rullar]

Jag förstår inte varför ni käbblar om hurvida dom använder en primär nyckel eller inte?
Det spelar ingen som helst roll om en 'identifierare' eller "nyckel" är primär nyckel (PK) eller inte. I en relations databas kan man söka med vilket data / värde som helst som finns i en kolumn. Orsaken till att man vanligtvis söker, i en relations databas, med en primär nyckel (PK) är för att en primär nyckel alltid är indexerad. Därmed går det fortare för databasen att hitta vad man söker samt att det inte låser upp en hel tabell (full table scan) medans databasen söker.

NoSQL funkar annorlunda men även där går att söka med annat än vad som motsvarar primär nyckel. Med det kräver att man indexerar det man vill söka med.

I det här fallet spelar det ingen roll iom att appen och websidan ansluter via ett gränssnitt / API och man får anta att Tesla (Herr Musk har ju tidigare varit med att starta Paypal så man får nog förmoda att han minst har koll nog att anställa rätt kunniga arkitekter) hanterar "access rights" korrekt.

I alla fall verkar det inte vara något bugg / säkerhetshål i app eller websida utan snarare personal med behörighet som varit inne och ändrat. TS säger ju att Tesla själva medgett att personal varit inblandade.

Däremot tycker jag nog att Tesla borde ha lite bättre rutiner runt att byta ägare till en bil. Verkar ju vara något knas om man bara kan byta ägare genom ett telefonsamtal.

[Dagfinn]

Jag förstår inte varför ni käbblar om hurvida dom använder en primär nyckel eller inte?
Det spelar ingen som helst roll om en 'identifierare' eller "nyckel" är primär nyckel (PK) eller inte. I en relations databas kan man söka med vilket data / värde som helst som finns i en kolumn. Orsaken till att man vanligtvis söker, i en relations databas, med en primär nyckel (PK) är för att en primär nyckel alltid är indexerad. Därmed går det fortare för databasen att hitta vad man söker samt att det inte låser upp en hel tabell (full table scan) medans databasen söker.

NoSQL funkar annorlunda men även där går att söka med annat än vad som motsvarar primär nyckel. Med det kräver att man indexerar det man vill söka med.

I det här fallet spelar det ingen roll iom att appen och websidan ansluter via ett gränssnitt / API och man får anta att Tesla (Herr Musk har ju tidigare varit med att starta Paypal så man får nog förmoda att han minst har koll nog att anställa rätt kunniga arkitekter) hanterar "access rights" korrekt.

I alla fall verkar det inte vara något bugg / säkerhetshål i app eller websida utan snarare personal med behörighet som varit inne och ändrat. TS säger ju att Tesla själva medgett att personal varit inblandade.

Däremot tycker jag nog att Tesla borde ha lite bättre rutiner runt att byta ägare till en bil. Verkar ju vara något knas om man bara kan byta ägare genom ett telefonsamtal.

Vi käbblar inte om dom använder en primärnyckel eller ej. Vi käbblar om påståendet att om det görs ska arkitekten sparkas. Jag har nog inte sagt någonting som går emot det du skriver heller? Jag ville ha en förklaring på varför det skulle vara fel att göra så, men jag vet ju mycket väl om att det är ett svårt påstående att motivera iom att det är nonsens.

Meeeen, vad vet jag. Efter 27 år i branschen vet jag inte ens skillnaden mellan kundnummer och teknisk nyckel.

[tobias_rullar]

Vi käbblar inte om dom använder en primärnyckel eller ej.

Ok. Det var inte skrivet till dig specifikt, så ta det inte personligt.

Vi käbblar om påståendet att om det görs ska arkitekten sparkas. Jag har nog inte sagt någonting som går emot det du skriver heller? Jag ville ha en förklaring på varför det skulle vara fel att göra så, men jag vet ju mycket väl om att det är ett svårt påstående att motivera iom att det är nonsens.

Hurvida ett värde man söker med är primary key eller inte är ganska ointressant. Däremot är det att rekommendera att vad man nu söker på är indexerat pga prestanda. Just det, ska tillägga att primary key måste vara unikt i tabellen. Dvs det får inte finnas 2 rader med samma PK. Så det är ju inte dumt att ha något unikt som tex VIN eller personnumer som PK, då får man hjälp med att man inte kan ha 2 bilar med samma VIN.

Varför skulle man sparka en arkitekt för att lösningen söker mha PK? Jag ska erkänna att jag mest skummat igenom tråden där det disskuteras primary key, så jag kanske missförstått.

Om nu PK är allmänt känt, tex VIN eller personnummer, så får man helt enkelt begränsa vem (behörigheter) och hur (gränssnitt / API) man får tillgång till att läsa respektive skriva till databasen. 'Security by obscurity' har visat sig fungera väldigt dåligt. Dessutom, den man försvårar mest för är sig själv.

[Dagfinn]

Vi käbblar inte om dom använder en primärnyckel eller ej.

Ok. Det var inte skrivet till dig specifikt, så ta det inte personligt.

Vi käbblar om påståendet att om det görs ska arkitekten sparkas. Jag har nog inte sagt någonting som går emot det du skriver heller? Jag ville ha en förklaring på varför det skulle vara fel att göra så, men jag vet ju mycket väl om att det är ett svårt påstående att motivera iom att det är nonsens.

Hurvida ett värde man söker med är primary key eller inte är ganska ointressant. Däremot är det att rekommendera att vad man nu söker på är indexerat pga prestanda. Just det, ska tillägga att primary key måste vara unikt i tabellen. Dvs det får inte finnas 2 rader med samma PK.

Varför skulle man sparka en arkitekt för att lösningen söker mha PK? Jag ska erkänna att jag mest skummat igenom tråden där det disskuteras primary key, så jag kanske missförstått.

Om nu PK är allmänt känt, tex VIN eller personnummer, så får man helt enkelt begränsa vem (behörigheter) och hur (gränssnitt / API) man får tillgång till att söka respektive skriva till databasen. 'Security by obscurity' har visat sig fungera väldigt dåligt. Dessutom, den man försvårar mest för är sig själv.

Du har kanske inte rent av missförstått, men missat huvudpoängen i käbblet i alla fall

Detta drog igång det hela:

Kommunicerar man primärnycklar i databasen med kunderna borde man sparka arkitekten.

Det bastanta påståendet får du gärna förklara närmare.

En teknisk nyckel ska inte hålla affärskritisk information.

[tobias_rullar]

Du har kanske inte rent av missförstått, men missat huvudpoängen i käbblet i alla fall

Detta drog igång det hela:

Kommunicerar man primärnycklar i databasen med kunderna borde man sparka arkitekten.

Det bastanta påståendet får du gärna förklara närmare.

En teknisk nyckel ska inte hålla affärskritisk information.

Aha, ok. Tack! Då lämnar jag den diskussionen.