Das Vaillant Entwicklerkennwort muss auch nur einmal irgendwo raus kommen
Das war kein Problem. Ich kenne es. Werde es nicht weiter publizieren aber für den Kundendienst bietet es noch zusätzliche Möglichkeiten.
Das Vaillant Entwicklerkennwort muss auch nur einmal irgendwo raus kommen
Das war kein Problem. Ich kenne es. Werde es nicht weiter publizieren aber für den Kundendienst bietet es noch zusätzliche Möglichkeiten.
Moin
und mit Dir hunderte andere
mfg
... und wir reden da nicht von Fachhandwerkern oder Insidern. Sondern von Endkunden wie mir - die damit die gesamte Anlage mal eben auf den Auslieferungszustand setzen können, die Motorlaufzeit auf 0 zurücksetzen etc. Und das bei jedem eco 1.0, den sie unter die Finger bekommen...
alikante: Wir hätten bei Honda mal schauen sollen, was deren eco so alles eingestellt hat
und mit Dir hunderte andere
Übertreib mal nicht so heftig. Die das Passwort kennen und nicht zum erlauchten Kreis der Softwareentwickler zählen kannst Du an beiden Händen abzählen. Außerhalb des BHKW-Forums dürfte es wohl unbekannt sein. Bei der neueste Software-Version kannst Du es nicht mal mehr bei der Bedienung über den Touchscreen verwenden sondern nur noch über den Netzwerkanschluss.
Übertreib mal nicht so heftig. Die das Passwort kennen und nicht zum erlauchten Kreis der Softwareentwickler zählen kannst Du an beiden Händen abzählen. Außerhalb des BHKW-Forums dürfte es wohl unbekannt sein.
Nein. Alikante übertreibt nicht! Leider...In den Artikeln zum "Vaillantgate" stand es ja auch drin, damit verrate ich nichts Neues mehr: Wenn man den Traffic zwischen dem eigenen PC und einem eco 1.0 mitliest, bekommt man ALLE Kennworte ein-zwei Mal pro Sekunde angezeigt. Jeder der das ausprobiert kennt dann das Entwicklerkennwort. Und nochmal: Dabei ist man NICHT auf dem eco eingeloggt, die Daten kommen nur bei der Startseite, bevor man das Kennwort eingibt.
Jeder der auf ein eco 1.0 vom PC aus zugreifen kann (egal ob über LAN-Kabel oder bis zum "Stecker raus!" Brief über das Internet) und die Heise-Artikel verstanden hat, kann das Entwicklerkennwort so einfach auslesen...
Nein. Alikante übertreibt nicht!
Jeder der auf ein eco 1.0 vom PC aus zugreifen kann (egal ob über LAN-Kabel oder bis zum "Stecker raus!" Brief über das Internet) und die Heise-Artikel verstanden hat, kann das Entwicklerkennwort so einfach auslesen...
also wenn ich mein laptop das eco per lankabel verbinde, hat der laptop keine i-net verbindung ( kabel 2m lang )...(den heise-artikel kenn ich nicht )
wie soll da jemand mitlesen ?
gruß daniel
also wenn ich mein laptop das eco per lankabel verbinde, hat der laptop keine i-net verbindung ( kabel 2m lang )...(den heise-artikel kenn ich nicht )
wie soll da jemand mitlesen ?
Es geht eben genau darum, dass niemand mitlesen muss, wenn Du oder ein Experte auf Deinen eco zugreift. Jeder der ein LAN-Kabel an den eco anklemmen kann oder einen eco im Internet findet (es gibt spezielle Suchmaschinen, mit denen man ganz einfach alle verwundbaren Saia-Steuerungen findet!) kommt als Entwickler drauf. 100%ig. Egal wie die Kennworte geändert wurden.
Also jetzt doch eine Kurzanleitung, damit Daniel und Oscar sehen wie leicht man Vaillant Entwickler wird...
Glaubt es bitte endlich: Man muss kein ach-so-böser illegaler Hacker sein. Man braucht keinen Supercomputer um Kennworte auszurechnen. Die Saia-Implementierung ist Kernschrott. Wer das implementiert hat kann vielleicht seinen Namen tanzen, sollte aber nichts programmieren was über "Hello world!" hinaus geht...
Wobei meine Erklärung oben eigentlich dafür gedacht war zu erklären, warum so viele Leute das Entwickler-Kennwort kennen können.
Alles anzeigenEs geht eben genau darum, dass niemand mitlesen muss, wenn Du oder ein Experte auf Deinen eco zugreift. Jeder der ein LAN-Kabel an den eco anklemmen kann oder einen eco im Internet findet (es gibt spezielle Suchmaschinen, mit denen man ganz einfach alle verwundbaren Saia-Steuerungen findet!) kommt als Entwickler drauf. 100%ig. Egal wie die Kennworte geändert wurden.
Also jetzt doch eine Kurzanleitung, damit Daniel und Oscar sehen wie leicht man Vaillant Entwickler wird...
- Fiddler2 installieren (findet man mit Suchmaschine der Wahl, man kann auch ein x beliebiges anderes Tool nehmen zum Traffic-Analysieren)
- Fiddler2 starten
- Mit Internet Browser die IP-Adresse des eco aufrufen (jetzt die üblichen Fehlermeldungen etc. wegklicken)
- Die Startseite des eco wird angezeigt - NICHT einloggen, einfach die Seite offen lassen. Wir sind schließlich ein illegaler böser Hacker!
- Jetzt in Fiddler2 ansehen was vom eco auf den eigenen PC übertragen wird
- Es sollte ziemlich scrollen, da der eco die gleichen Daten jede Sekunde 1-2 mal überträgt
- Ein solches Päckchen ansehen, das ganze ist sehr übersichtlich - die fünf Ziffern sind das Entwicklerkennwort. Fachhandwerker- und Kundenkennwort gibt es natürlich gratis dazu.
Glaubt es bitte endlich: Man muss kein ach-so-böser illegaler Hacker sein. Man braucht keinen Supercomputer um Kennworte auszurechnen. Die Saia-Implementierung ist Kernschrott. Wer das implementiert hat kann vielleicht seinen Namen tanzen, sollte aber nichts programmieren was über "Hello world!" hinaus geht...
Wobei meine Erklärung oben eigentlich dafür gedacht war zu erklären, warum so viele Leute das Entwickler-Kennwort kennen können.
ich glaub ich versteh was du meinst .....nur wenn der Endkunde das macht Rücksetzen auf 0 std. und er war vorher mit Vaillant verbunden bzw. wurde meldung gemacht zur Stromerzeugung ( kwk-zuschlag ) sind ja die Betriebsstunden bekannt ...kein Funktionsgarantie mehr....wird wohl kein endkunde machen...
wenns der Nachbar macht ...ist es natürlich nicht schön...
das eco hat doch einen Datenspeicher, da sollte es doch nachvollziehbar sein
ich sag ja ....einfach nicht ans netz stecken
gruß daniel
noch was...beim verbinden mit PC/Laptop sollen alle Verbindungen(I-Net ) ausgeschaltet sein sagt Vaillant
bleibt nur das Problem wenn es am Netz hängt.....wenn du ne PV mit Datenlogger hast, stehst du vor dem selben Problem...schalte mal um 12 Uhr alle SMA wechselrichter aus ...dagegen sind 400 eco 1 nichts dagegen
gruß daniel
Moin
beim verbinden mit PC/Laptop sollen alle Verbindungen(I-Net ) ausgeschaltet sein sagt Vaillant
ok, das ist sicherlich ein probates Mittel den Zugang von aussen zu verhindern. In den alten Wartungsvereinbarungen stand hingegen noch explizit man solle die Ports nach draussen öffnen.
mfg
In den alten Wartungsvereinbarungen stand hingegen noch explizit man solle die Ports nach draussen öffnen.
Und das auch noch unter Androhung einer Vertragsstrafe
Hat eigentlich irgendwer außer uns bereits die VPN Box bekommen? Die sollten doch schon im Juni verbaut werden?
Zu der Zwischenlösung mit der Bestätigung am eco: Wenn man dann übers Netz mit dem eco verbunden ist, kann man darüber auch den Bestätigungsknopf drücken...?
Zu der Zwischenlösung mit der Bestätigung am eco: Wenn man dann übers Netz mit dem eco verbunden ist, kann man darüber auch den Bestätigungsknopf drücken...?
Nein, das Netz ist ja zu dem Zeitpunkt "aus". Erst wenn ein autorisierter Nutzer am Gerät das LAN aktiviert, kann man über das Netzwerk zugreifen. Aber wenn der Kunde das Verzeichnisschutz-Passwort nicht kennt, kommt er auch dann übers Netz nur auf die microbrowser-Variante.
Nein, das Netz ist ja zu dem Zeitpunkt "aus". Erst wenn ein autorisierter Nutzer am Gerät das LAN aktiviert, kann man über das Netzwerk zugreifen.
Das war klar - logisch. Die Frage ist: Ich habe am Gerät den Netzzugang bestätigt, logge mich dann per PC auf der Microbrowser-Seite ein - kann ich dann per PC immer wieder aufs Knöpfchen drücken und mir neue 60 Minuten Zugang auf den eco holen?