Datenaustausch mit Dritt-Anbietern

Greift Tronity nicht über einen generierten Token auf die API des ID's zu? Dann müsste man meiner Meinung nach diese doch bei Tronity löschen.
Bin aber kein Experte was dies angeht. Dann sollte es doch normal sein, dass auch nach ändern des Passworts noch funktioniert, da der Token noch gültig ist.

Zitat von HeiFire

...Dann sollte es doch normal sein, dass auch nach ändern des Passworts noch funktioniert, da der Token noch gültig ist.

Dann hätte man als User aber keine Möglichkeit, ein abhanden gekommenes Token zu löschen.. Ist halt eine Abwägung, was einfacher und zuverlässiger ist ..

Auch wenn es jetzt altklug klingt. Da sollte man sich halt vorher drüber Gedanken machen.

Warum fragt ihr nicht einfach mal bei Tronity nach, wie hier die Verbindung sicher kappt.

Im Netz habe ich auf die Schnelle keine Info gefunden.

Also ich sehe da nicht die Drittanbieter in der Pflicht Token löschen zu lassen (dem man dann ja auch blind vertrauen müsste), sondern Volkswagen, welche die Tokens ausgegeben hat. Bei allen anderen Diensten, die ich nutze ist das so, dass man im System, mit dem man per Token zugreifen kann diese Token ungültig erklären kann. Alles andere macht auch aus Sicherheitsaskpekten keinen Sinn.

Wenn ich meinen Haustürschlüssel an jemanden gegeben habe, den ich nicht mehr in meiner Wohnung haben möchte (und ggf. nicht mehr vertraue), wechsel ich ja auch das Schloss und sag nicht einfach nur, dass er den Schlüssel wegwerfen soll.

froschwetter du kannst bei VW doch sehen, wofür alles Tokens ausgestellt wurden und diese auch löschen. afrieler hat gezeigt, wie man da hinkommt. Alles was du forderst wird unterstützt. Nur die aktuellen Logins unterhalb dieser verbundenen Apps siehst du nicht. Das ist aber auch kein gängiges Feature und eher bei sensiblen Diensten (z.B. Dropbox) verfügbar.

Wenn du als Nutzer eine Drittanbieter App aber über das Übermitteln von Nutzername + Passwort autorisiert, dann sieht das anders aus. Dann gibst du dem Drittanbieter die uneingeschränkte Möglichkeit zur Erzeugung beliebiger Tokens. Und die verstecken sich dann ggf. unter ganz anderen Elementen (z.B. Tronity unter We Connect oder ähnliches).

Man kann die Tokens bei VW aber löschen Larsvegas1000:

Geh auf https://vwid.vwgroup.io/account und lösche dort den Zugriff für alle "Verbundene Apps", bis Tronity nicht mehr funktioniert. Einfach die App antippen und "Zugriff entziehen" auswählen. Und dazu auch noch Passwort ändern (hast du ja bereits gemacht).

Danach musst du aber ggf. deine App und vielleicht auch das Auto neu verbinden. Aber das ist die Konsequenz wenn man sein Passwort jemand anderem gegeben hat.

Danke für die Erklärung! Ich hatte tatsächlich angenommen, dass ich durch mein Login beim Drittanbieter (der auf die VW-Seite zum Login weitergeleitet wurde) einen Token erstellt hatte. So kenne ich es beispielsweise, wenn ich mich über mein Google Konto auf einer anderen Webseite authentifiziere. Offenbar wurde aber einfach das Passwort gespeichert, was natürlich weniger sinnvoll ist (und mir in dem Prozess auch nicht klar wurde, weil ich ja zur VW-Seite weitergeleitet wurde). Letztendlich vertraue ich dem Drittanbieter auch weiterhin (und ich habe deshalb keinen Handlungsbedarf), mir war es nur wichtig grundsätzlich die Möglichkeit zu haben sich da umzuentscheiden.

Wenn das mit einem geänderten Passwort möglich ist (was allerdings bei Larsvegas1000 nicht so klang), wäre ich erstmal zufrieden.

Zitat von Larsvegas1000

ich hab echt ausgeblendet, dass diese Anmeldung auf eine stümperhafte Schnittstelle von VW schließen lässt.

Vielleicht wäre es sinnvoll mit solchen "Bewertungen" etwas langsamer zu sein

VW hat OAuth implementiert und unterstützt sogar die Drittanbietern (Tronity scheint das jetzt ja auch zu nutzen). Wäre das vorher schon so gewesen, dann wäre das für dich jetzt sehr einfach. Du hast Tronity halt dein Passwort gegeben und Tronity impersoniert jetzt eine der dort angezeigten "Verbundenen Apps". Da kann VW aber nix gegen machen - die Schuld trägst du bzw. Tronity (je nach Sichtweise).

Ich weiß nicht, ob du wirklich das Auto neu koppeln musst. Sollte dann aber grundsätzlich mit dem Scannen vom QR Code und einer entsprechenden Meldung im Auto getan.

Probier es einfach aus, wenn du Tronity nicht traust.

Habe mir das jetzt auch mal genauer angeschaut.

Verbindet man sein Auto mit EEVEE oder Tibber, erscheint beim Login über dem E-Mail Feld "Volkswagen App".

D.h. die Dienste geben sich als Volkswagen App aus.

Wie es bei Tronity ist, weiß ich nicht (vermutlich genauso).

Wenn man also den Zugriff für "Volkswagen App" entzieht, dann sollten auch die anderen Dienste den Zugriff verlieren.

Nachtrag:
Habe eine Verbindung mit Tronity eingerichtet und dort steht nicht mehr "Volkswagen App", sondern es wird sich korrekt als Tronity angemeldet.

Noch eine Frage an die aktiven Tronity Nutzer:
Ist die Verbrauchsberechnung mit Umstellung auf den neuen Login (statt Emulation der VW App) nun genauer geworden? Das war ja immer extrem ungenau bei mir.

Zitat von Robin

Noch eine Frage an die aktiven Tronity Nutzer:
Ist die Verbrauchsberechnung mit Umstellung auf den neuen Login (statt Emulation der VW App) nun genauer geworden? Das war ja immer extrem ungenau bei mir.

Hallo Hier mal ein Feedback von mir zu Tronity in Bezug auf die Frage von Robin:

Ich bin seit August ID-Fahrer und habe mir dann auch aufgrund von Erwähnungen hier im Forum die Tronity App installiert, da ich einen Firmenwagen zur Privatüberlassung habe und auf der Suche nach einem digitalen Fahrtenbuch war um nicht alles händisch zu erfassen.

Ich bin von der App begeistert und finde, dass die Datenqualität gut und genau ist und kann diese nur empfehlen und mir sind es die 4 Euro im Monat wert.

Zitat von Robin

Habe mir das jetzt auch mal genauer angeschaut.

Verbindet man sein Auto mit EEVEE oder Tibber, erscheint beim Login über dem E-Mail Feld "Volkswagen App".

D.h. die Dienste geben sich als Volkswagen App aus.

Wie es bei Tronity ist, weiß ich nicht (vermutlich genauso).

Wenn man also den Zugriff für "Volkswagen App" entzieht, dann sollten auch die anderen Dienste den Zugriff verlieren.

Nachtrag:
Habe eine Verbindung mit Tronity eingerichtet und dort steht nicht mehr "Volkswagen App", sondern es wird sich korrekt als Tronity angemeldet.

---

Noch eine Frage an die aktiven Tronity Nutzer:
Ist die Verbrauchsberechnung mit Umstellung auf den neuen Login (statt Emulation der VW App) nun genauer geworden? Das war ja immer extrem ungenau bei mir.

Alles anzeigen

Ich habe Evoli verwendet. Es erscheint, wie von Ihnen erwähnt, nicht in der Liste der Anwendungen mit Zugriff auf das Konto.

Ich habe das Passwort meines Volkswagen-Kontos geändert und eevee hat weiterhin Zugriff auf meine Daten! Dies ist eine schwerwiegende Sicherheitsverletzung. Wie kann ich den Zugriff über Volkswagen widerrufen?

(using translate tool)

zedocoding try removing Volkswagen App access. You will need to login again in the VW app

Zitat von zedocoding

Ich habe Evoli verwendet. Es erscheint, wie von Ihnen erwähnt, nicht in der Liste der Anwendungen mit Zugriff auf das Konto.

Ich habe das Passwort meines Volkswagen-Kontos geändert und eevee hat weiterhin Zugriff auf meine Daten! Dies ist eine schwerwiegende Sicherheitsverletzung. Wie kann ich den Zugriff über Volkswagen widerrufen?

(using translate tool)

Hi zedocoding, I saw, that you are using a translation tool to follow the conversation.

in #10 of this thread I posted a possible solution and it seemed to work. I think that it might be possible to help you. But we should discuss it beside this thread and via personal conversation.

If OK for you, send me a message via personal conversation.

Zitat von Robin

zedocoding try removing Volkswagen App access. You will need to login again in the VW app

Ich habe die Volkswagen APP und alle anderen entfernt und das Passwort geändert. 2 Tage später hat eevee immer noch Zugriff auf meine ID3.