Nåå ja, ok, den ændring. Ja jeg vil mene at det er en lidt optimistisk fortolkning at sige det giver begrænset adgang.
- Der skal stadig bruges username + password til din Tesla konto for at lave det access token.
- Det er ikke noget en almindelig bruger vil kunne gøre. App'en eller servicen (web-siden) du bruger vil skulle gøre det for dig med mindre du er meget teknisk og kan rode med f.eks. php.
- Det access token giver stadig fuld adgang til Tesla's API og en ondsindet app vil kunne gøre alt med bilen. Den vil ikke kunne f.eks. overdrage bilen til en anden konto, men låse op, følge GPS koordinater, osv.
Hvis jeg skulle lave en app eller service ville jeg stadig som udgangspunkt basere det på at bede om username + password men uden at gemme det og så bare gemme det token (+ refresh token) i stedet. Deg jeg mener er at det sagtens kan laves sådan at username + password ikke gemmes men kun til på brugerens vegne at lave det token.
Man kan så lige som TeslaFi tilbyde at brugen selv kommer med token (+ refresh token) i stedet, men mit gæt er at det vil være meget få der kan og vil det.
Hvis man bruger en app eller en service bliver man nød til at stole på at de behandler ens data fornuftigt. Jeg ser ikke meget vundet ved at gå igennem ild og vand for selv at lave det token. De apps og services (såsom TeslaFi) kan selv med kun token samle så ufatteligt meget data om mig at det ekstra de kan med brugernavn og kode egentlig er ligegyldigt.
En app der koster over 300 kr er et godt tegn. Det betyder med en vis sandsynlighed at udvikleren tjener sine penge ved salg af app'en og ikke ved salg af dine data.
Hvis Tesla officielt tilbød en form for udvikler interface kunne de hjælpe med at øge sikkerheden.