Hello,

Klingt als hättest du die Schwachstelle richtig erkannt, aber willst im Moment nichts dagegen tun. Für die Zukungt: Public Key oder JSON Web Token sind geeignetere Authentifizierungsverfahren für euren Anwendungsfall.

Ich kann jetzt nicht erkennen, was ein Public Key daran verbessern könnte. Wo soll der gespeichert werden?

Irgendwo muss die Zugangsberechtigung ja gespeichert werden. Es geht hier nicht um die Transportsicherung. Die wird ja demnächst per HTTPS vorgenommen. Wir brauchen im Prinzip noch ein zusätzliches Merkmal, das sich ändert, wenn jemand das Gerät klaut und zuhause damit postet. Vermutlich wird er/sie es eher zerlegen...

[edit]
Mir fällt bisher nur gps ein. Wird das Gerät verschleppt, verfällt der aktuelle Zgangskey sofort. Nur gps ist auch nicht überall stabil.

[edit-2]
Wenn man merkt, dass gefälschte Daten gekommen sind, wird der Key selbstverständlich auch deaktiviert und das Gerät überprüft. Das ist dann vermutlich nicht mehr da, wohin es gehört.

Glück Auf
Tom vom Berg