Hallo,
ich habe mir zu meiner PV-Anlage eine SolarLog Anlagenüberwachung geleistet.
Dort kann man einen "Automatischen Datenexport konfigurieren (Erweitert/WEB-Export)" um die Daten im Internet darzustellen.
Ich habe mir mal angeschaut, was da alles exportiert wird.
Zitat: "Der automatische Datenexport dient dazu, die Ertragsdaten regelmäßig auf eine Homepage zu transferieren, um die Anlage mit Online-Daten im Internet zu präsentieren."
Neben den Ertragsdaten werden aber auch die Konfigurationsdaten übertragen und das inklusive der Login-Daten und der Passwörter.
Ich finde es nicht ok, meine Passwörter zu übertragen ohne mich darauf hinzuweisen.
Die Hotline von SolarLog konnte mir auch keine schlüssige Erklärung geben was SolarLog damit anfängt.
Ich habe mich entschlossen den Datenexport und SolarWEB daher nicht zu nutzen.
Frage:
Übertragen die anderen Datenlogger auch Daten, die sie nicht übertragen sollten?

Gruß

Im Prinzip wird die Systemkonfiguration mit übertragen. Diese enthält zwar auch die Zugangsdaten, aber nicht im Klartext. Je nach Variante kann hier über das Portal anpassungen an der Konfig vorgenommen eerden. Außerdem kommen die Zugangsdaten eh von Solare Datensysteme. Nicht zuletzt werden genau diese Daten auch zur Anmeldung, damit die Daten übertragen können verwendet.
Also so ganz klar ist mir nicht wo Dein Problem genau ist.

Stefan

LumpiStefan hat geschrieben:Im Prinzip wird die Systemkonfiguration mit übertragen. Diese enthält zwar auch die Zugangsdaten, aber nicht im Klartext. Je nach Variante kann hier über das Portal anpassungen an der Konfig vorgenommen eerden. Außerdem kommen die Zugangsdaten eh von Solare Datensysteme. Nicht zuletzt werden genau diese Daten auch zur Anmeldung, damit die Daten übertragen können verwendet.
Also so ganz klar ist mir nicht wo Dein Problem genau ist.

Stefan

Hallo Stefan,
In der Bedienungsanleitung wird nichts von Systemkonfiguration geredet, sondern nur von Ertragsdaten.
Wenn die Daten nur von Solare Datensysteme kommen können, dann ist mir unverständlich, warum man einen eigenen E-mail-Server eintragen kann.
Es ist nicht ausgeschlossen, dass jemand für den E-mail und SMS Versand sein "Standard Postfach" einträgt und dann Login und Passwort bei Solare Datensysteme (oder einem sonstigen PV-Portal wie "Sonnenertrag.eu???") landet.
Das Passwort ist übrigens nur leicht verschleiert, also kein größeres Problem es zu "knacken", wenn sich jemand die Zeit nimmt.

Das Problem liegt wohl in der Dokumentation. Wenn Solare Datensysteme schon so super Service anbietet, dann sollte er dokumentiert werden. Alles andere hinterlässt ein ungutes Gefühl.

Und jeder Nutzer solcher Logger sollte sich bewusst machen, dass eventuell mehr Daten übertragen werden, als er denkt.

Gruß

Die Konfigurationsdatei liegt aber auch nur unter einem zufälligen Namen vor, insofern ist der Zugriff schon relativ beschränkt.
Manchmal kann man auch päpstlicher sein, als der Papst. Meine Meinung .....

Stefan

Wer macht sich die Arbeit und hackt einen Solarlog ???

LumpiStefan hat geschrieben:Die Konfigurationsdatei liegt aber auch nur unter einem zufälligen Namen vor, insofern ist der Zugriff schon relativ beschränkt.
Manchmal kann man auch päpstlicher sein, als der Papst. Meine Meinung .....

Stefan

Stefan,
als Security Engineer wirst du sicher Bescheid wissen.

Es gibt eine dokumentierte Funktion im SolarLog um regelmäßige Sicherungen zu machen. Diese kann ich an- und ausschalten.
Warum wird die Konfiguration "undokumentiert" trotzdem ohne meine Zustimmung regelmäßig übertragen?

Warum achtet der SW-Hersteller, bzw. der Security Engineer des Herstellers nicht auf die Vertraulichkeit der Login-Daten und Passwörter?

A) Der Solarlog hat nicht dokumentierte und unerwartete Funktionen. (Trojaner?? Gibt es noch andere undokumentierte Funktionen/Back-Doors??)
B) Der Solarlog greift undokumentiert Passwörter ab (Phishing?? Stellt z.B. Sonnenertrag.eu die Vertraulichkeit der übertragenen Passwörter sicher??)

Ich kann damit umgehen. Daher habe ich mir angeschaut was übertragen wird, bevor ich eine Funktion nutze.

Aber, wenn wir zurückgehen zu meiner Anfangsfrage: Ich wollte hier keine Probleme des SolarLog diskutieren, sondern habe nur die Frage gestellt, ob alle Logger-Nutzer wissen welche Daten übertragen werden. Es könnten in einem Firmennetz ja auch andere Daten sein.

Die Logger-Hersteller sollten in der Dokumentation klar beschreiben was sie übertragen und warum.

Gruß

Mattn hat geschrieben:Wer macht sich die Arbeit und hackt einen Solarlog ???

Hallo Mattn,

mir geht's nicht um den Solarlog. Aber darum, dass Passwörter übertragen werden, mit denen bei manchen Mitgliedern deren private Mail-Boxen "gehackt" werden können.
Außerdem bin ich extrem sensitiv bei Datenübertragungen zu "irgendjemand", die nicht dokumentiert sind.

Gruß

hallo

dass du mit so ner einstellung dann überhaupt das www nutzt, wundert mich dann schon sehr....

gruß karl

Karl aus W. hat geschrieben:hallo

dass du mit so ner einstellung dann überhaupt das www nutzt, wundert mich dann schon sehr....

gruß karl

Hallo Karl,
schick mir mal bitte dein privates Mailbox-Login.
(provider, user, passwort)

Gruss

Hallo Karl,
ich kann wohl nicht davon ausgehen, dass ich Deine Mailbox-Zugangsdaten bekomme!!!

Niemand verschickt diese Daten an unbekannte Personen freiwillig.
Du kannst auch davon ausgehen, dass niemand will, dass diese Daten versteckt in einer anderen Funktion ohne Wissen an unbekannte Personen verschickt werden.
SolarLog (und die anderen Logging-Hersteller) sollten transparent machen, was sie wann und warum übertragen.

Es ist nicht akzeptabel, dass aus Datensammelwut und um neben dem beträchtlichen Gerätepreis noch Nebeneinkommen zu schaffen, derartige Funktionen "versehentlich" eingebaut werden ohne es zu dokumentieren.

Die Hersteller sind gefragt, dies abzustellen, entweder durch bessere Dokumentation oder durch Verbesserung der Software.
Ich werde mich mal wieder zwei Wochen zurückziehen. Mal sehen, was die SolarLog-Hersteller bis dahin für Ihre Kunden verbessert haben.