Volkswagen บล็อก Home Assistant เนื่องจากบังคับใช้ client assertion

 (github.com/robinostlund)
1 คะแนน โดย GN⁺ 14 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Issue #967 ยังคงมีสถานะเปิดอยู่ และมีรายการที่เกี่ยวข้องคือ #971 กับรีลีสล่าสุด v5.4.7 แสดงอยู่ แต่จากการสนทนาที่ให้มาเพียงอย่างเดียว ยังยืนยันไม่ได้ว่าแก้ไขเสร็จสิ้นแล้วหรือไม่
  • รายงานแรกระบุว่า หลังจากการยืนยันตัวตนของ homeassistant-volkswagencarnet ใน Home Assistant หมดอายุ ก็ไม่สามารถล็อกอินใหม่ด้วยอีเมลและรหัสผ่านได้อีก ขณะที่การล็อกอินผ่านแอป Android และเบราว์เซอร์ยังคงใช้งานได้
  • ขั้นตอนการทดสอบซ้ำคือกรอกอีเมลและรหัสผ่าน โดยข้อความผิดพลาดจะแสดงเป็น Anmeldung bei Volkswagen Connect nicht möglich. Bitte überprüfe deine Zugangsdaten und stelle sicher, dass der Dienst verfügbar ist.
  • ผู้ร่วมสนทนาคนหนึ่งมองว่านี่ไม่ใช่บั๊ก แต่เป็นผลจากการที่ Volkswagen ปิดใช้งาน API อย่างถาวร และต่อมามีผู้ร่วมสนทนาอีกคนสรุปว่า มีทั้ง API ทางการแบบเสียเงินและ API ไม่เป็นทางการแบบฟรี โดยแบบหลังไม่สามารถใช้งานได้อีกแล้ว
  • ผู้ใช้บางรายรายงานว่ายังล็อกอินผ่านเว็บได้ แต่ API และแอปใช้งานไม่ได้ หรือแอปตอบสนองช้ามาก ขณะที่ผู้ใช้อีกรายระบุว่ายังล็อกอินในแอป Android ได้ แต่หลังรีสตาร์ต Home Assistant ก็เจอปัญหาเดิม
  • มีรายงานว่า CarConnectivity-plugin-mqtt ยังทำงานได้ แต่ก็มีข้อโต้แย้งว่าเพราะใช้ API เดียวกัน การตั้งค่าที่มีอยู่เดิมอาจใช้ต่อได้แค่จนกว่าโทเค็นจะหมดอายุ และผู้ใช้ใหม่อาจใช้งานไม่ได้
  • ผู้ใช้อีกรายรายงานว่า แม้จะเพิ่งเริ่มใช้ CarConnectivity-plugin-mqtt ก็ยังดึงข้อมูลได้ด้วยโทเค็นยืนยันตัวตนใหม่ ทำให้ความยั่งยืนของทางเลือกนี้ยังไม่สามารถสรุปได้จากการสนทนา
  • มีการแชร์การเปลี่ยนแปลงที่เกี่ยวข้องในฟอรัม Facebook ของ Skoda EV และผู้ร่วมสนทนาที่บอกว่ายังไม่เห็นประกาศทางการ มองว่าการเปลี่ยนแปลงนี้อาจส่งผลต่อ ทุกแบรนด์ในเครือ VAG
  • มีการพูดถึง Smartcar และ Tibber ในฐานะทางเลือก โดย Smartcar มีการถกเถียงเรื่องเส้นทางการไหลของข้อมูลรถและการบังคับใช้ GDPR และมีผู้ใช้รายหนึ่งบอกว่าสามารถทำให้ “ใช้งานได้ไปก่อน” ด้วย Smartcar พร้อมแชร์ คอมเมนต์ใน wbyoung/smartcar#110
  • มีรายงานว่า Tibber ใช้งานได้ผ่านการเชื่อมต่อ Tibber พื้นฐานของ Home Assistant แต่ก็มีความกังวลว่าหาก Tibber เป็นฝ่ายจ่ายค่าเข้าถึง Enterprise API เอง ก็อาจไม่ยอมให้ผู้ใช้ใหม่ที่ไม่จ่ายเงินหลั่งไหลเข้ามาใช้งานได้เป็นเวลานาน
  • ผู้ร่วมสนทนารายหนึ่งตีความว่าประกาศของ Skoda ไม่ได้หมายถึงการเรียกเก็บเงิน แต่หมายถึงผู้ใช้ API ต้องลงทะเบียนกับ Volkswagen และได้ถามว่ามีการลงทะเบียนโปรเจกต์ไว้หรือไม่ ซึ่งผู้ดูแลตอบว่าตนไม่ได้ดำเนินการเองแล้ว เพราะไม่ได้ครอบครองรถของ Volkswagen อีกต่อไป
  • ผู้ดูแลมองว่าการลงทะเบียนอาจต้องใช้คีย์แยกตามผู้ใช้ และได้ขอคนมาช่วยทั้งการตรวจสอบและการดูแลโปรเจกต์ ทำให้แนวทางการแก้ปัญหายังคงขึ้นอยู่กับการสนับสนุนจากชุมชน

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 14 시간 전
ความเห็นจาก Hacker News

  • ดูเหมือนว่า EU Data Act จะถูกสร้างขึ้นมาเพื่อป้องกันสถานการณ์แบบนี้โดยตรง โดยเฉพาะมาตรา 4 และ 5 ที่น่าจะเกี่ยวข้อง: https://digital-strategy.ec.europa.eu/en/policies/data-act
    ถ้าผู้ใช้ไม่สามารถเข้าถึงข้อมูลจากผลิตภัณฑ์ที่เชื่อมต่อหรือบริการที่เกี่ยวข้องได้โดยตรง ผู้ครอบครองข้อมูลจะต้องทำให้ผู้ใช้เข้าถึงได้โดยไม่ชักช้า ในรูปแบบที่เข้าถึงง่าย ปลอดภัย ฟรี มีโครงสร้าง ใช้กันอย่างแพร่หลาย และเครื่องอ่านได้ และหากจำเป็นและเป็นไปได้ทางเทคนิค ก็ต้องเข้าถึงได้แบบต่อเนื่อง/เรียลไทม์ด้วย
    นอกจากนี้ยังมีแนวทางเฉพาะของสหภาพยุโรปเกี่ยวกับข้อมูลยานพาหนะด้วย: https://digital-strategy.ec.europa.eu/en/library/guidance-ve...

    • ใช่เลย ดูเหมือนว่านี่จะเป็น กรณีที่สามารถทวงคืนสิทธิ์การเข้าถึงได้ด้วย Data Act
      แต่ดูเหมือนว่าจะไม่ได้มีโครงสร้างแบบที่สามารถเรียกร้องสิทธิ์การเข้าถึงจาก Volkswagen ได้โดยตรงเหมือน GDPR มาตรา 79: https://gdpr-info.eu/art-79-gdpr/
      มีบทความเกี่ยวกับวิธีการบังคับใช้อยู่ไม่มาก เลยไปอ่านตัวกฎหมายตรง ๆ และมาตรา 39 ดูเหมือนจะกำหนดให้ต้องยื่นคำร้องต่อหน่วยงานที่มีอำนาจซึ่งประเทศสมาชิกที่พำนักอยู่เป็นผู้แต่งตั้งก่อน: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:...
      ถ้าหน่วยงานนั้นไม่ดำเนินการใด ๆ ก็จะมีสิทธิ์ได้รับการเยียวยาทางศาลที่มีประสิทธิภาพตามกฎหมายภายในประเทศ หรือให้หน่วยงานอิสระที่มีความเชี่ยวชาญตรวจสอบ
      แต่ในกรณีนั้น ดูเหมือนว่าคู่ความในคดีจะไม่ใช่บริษัท แต่เป็น หน่วยงานที่มีอำนาจ แทน และมาตรา 39(3) ก็ทำให้ประเด็นนี้ชัดเจน
      หวังว่าผมจะเข้าใจผิด
      อาจใช้ตรรกะแบบคดี Muñoz vs. Superior Fruiticola ได้ ว่า “หน้าที่ดังกล่าวต้องสามารถบังคับใช้ได้ผ่านกระบวนการทางแพ่ง” แต่ก็ไม่มั่นใจ และมันอ่อนกว่าช่องทางที่ GDPR ระบุไว้อย่างมาก: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELE...
      ถ้าใครมีข้อมูลที่ดีกว่านี้เกี่ยวกับการที่บุคคลทั่วไปจะบังคับใช้ Data Act ได้อย่างไร ก็อยากทราบ
    • Volkswagen เองก็มี เว็บไซต์ EU Data Act ด้วย: https://drivesomethinggreater.com/eu-data-act

  • ผู้ผลิตรายอื่น ๆ ก็ทำแบบเดียวกันนี้ไปเยอะเหมือนกัน
    ผมใช้ ไลบรารี Polestar ที่ถูกทำวิศวกรรมย้อนกลับเพื่อดึงสถานะการชาร์จอยู่ แต่ก็ไม่อาจเชื่อได้ว่าพวกเขาจะไม่บล็อกแบบเดียวกัน เลยกำลังทำ CAN bus sniffer ที่จะทำงานเดียวกันนี้
    มันก็ดูไม่ใช่แหล่งรายได้มหาศาลอะไรขนาดนั้น และยังทำให้คนที่มีส่วนร่วมกับผลิตภัณฑ์มากที่สุดไม่พอใจด้วย เลยไม่ค่อยเข้าใจว่าทำไปทำไม

    • ตอนนี้ข้อความ CAN บางส่วนก็ใส่ การยืนยันตัวตนด้วยคริปโต เพื่อไม่ให้แก้ไขได้แล้ว
      การเพิ่มการเข้ารหัสก็ดูเหมือนเป็นแค่เรื่องของเวลา
      ผมคิดว่านี่เป็นเรื่องของวัฒนธรรมองค์กรที่หลีกเลี่ยงความเสี่ยงเป็นหลัก
      มีบางแผนกเขียนเอกสารประเมินความเสี่ยงที่รวมรายการความเสี่ยงเล็ก ๆ น้อย ๆ เอาไว้ เช่น ความเป็นไปได้ที่แบ็กเอนด์ของแอปบุคคลที่สามจะถูกแฮ็ก หรือพาดหัวข่าวท้องถิ่นแนว ๆ “นักพัฒนางานอดิเรกแฮ็กรถเพื่อจะเชื่อมต่อกับ Home Assistant”
      รายการนั้นก็ถูกส่งต่อไปเรื่อย ๆ ไม่มีผู้จัดการระดับกลางคนไหนอยากรับผิดชอบ และเพราะไม่มีกรณีใช้งานเชิงบวกที่ได้รับการอนุมัติอย่างเป็นทางการ มาตรการตอบโต้แบบรุนแรงจึงถูกวางแผนและสร้างขึ้นทีละอย่าง
    • เห็นด้วย บริษัทแรกในแต่ละเซกเมนต์ที่ เปิดรับ Home Assistant อย่างเต็มตัว น่าจะได้ประโยชน์มากพอสมควรในแง่ยอดขายหรือการตลาด
      IKEA อาจถือเป็นตัวอย่างที่ดีพอใช้ได้
    • มันเป็นความต่างที่น่าสนใจกับ BSH ซึ่งเป็นบริษัทเยอรมัน
      ฝั่งเครื่องใช้ไฟฟ้า Bosch และ Siemens ดูเหมือนจะมองว่าการเปิดแพลตฟอร์ม Home Connect เป็นส่วนหนึ่งของการปฏิบัติตามกฎหมายสหภาพยุโรปด้านความโปร่งใสและการเคลื่อนย้ายข้อมูล
    • ความสามารถในการเชื่อมต่อกับรถยนต์นั้นขัดแย้งโดยพื้นฐานกับแนวโน้มด้านกฎระเบียบที่มุ่งไปทาง “เข้ารหัสทุกอย่าง”
      แค่ดูว่าฝั่ง RISC-V สำหรับยานยนต์กำลังทำอะไรอยู่ หรือข้อกำหนดของ EU Cyber Resilience Act ก็พอ
    • มีผลิตภัณฑ์โอเพนซอร์สที่อาจตรงความต้องการคือ WiCAN: https://www.meatpi.com/products/wican-pro

  • BYD ส่ง คำขอ DMCA มาที่คลังเก็บการเชื่อมต่อรถของผมทั้งหมด: https://github.com/github/dmca/blob/master/2026/05/2026-05-2...
    น่าเสียดายจริง ๆ ที่บริษัทรถยนต์ล็อกรถซึ่งเราซื้อมาในราคาพรีเมียม และเปิดสงครามครูเสดกับโอเพนซอร์ส

    • น่าจะลองส่งอีเมลหา Louis Rossmann ดู เขาเคยช่วยคนที่เจอสถานการณ์คล้าย ๆ กันมาแล้ว
    • เรื่องนี้อ่านแล้วเหมือนกับว่า “คุณไม่ได้ทำอะไรผิดกฎหมาย แต่เราจะทำให้มันดูเหมือนผิดกฎหมาย”
      เหมือนเอากุญแจของพื้นที่สาธารณะไปซ่อนไว้ใต้พรมหน้าประตู พร้อมเขียนว่า “มีกุญแจอยู่ตรงนี้” แล้วพอมีคนใช้กุญแจนั้นเข้าไปในพื้นที่ที่เปิดเผยอยู่แล้วก็กลับมาบ่นว่าเขาไม่ควรทำ
    • สงสัยว่าได้ย้ายไปที่อื่นหรือยัง
      ผมลองเช็ก Codeberg แล้ว แต่ไม่เจอที่นั่น
    • ถ้าพวกเขาอ้างว่ามีการเจาะการเข้ารหัส แบบนี้ DMCA ก็อาจใช้ได้เหมือนกัน
      แต่ในทางกลับกัน ถ้าไม่มีวิธีอย่างเป็นทางการในการขอโทเค็นยืนยันตัวตนหรือเชื่อมต่อรถเข้ากับ Home Assistant นั่นก็ควรถูกมองว่าเป็นข้อบกพร่องของบริการ
      r/opensource_legalaid
      ตอบกลับไปแล้วเรียกร้องสิทธิ์เข้าถึงข้อมูลซะ

  • ชอบมากกับคอมเมนต์ที่แปลภาษาสไตล์องค์กรให้กลายเป็นภาษาคนธรรมดา: https://github.com/robinostlund/homeassistant-volkswagencarn...
    ทำไมถึงทำร้ายตัวเองแบบนี้? นี่เป็นแหล่งรายได้ที่มีความหมายจริงหรือ? มันช่วยเพิ่มความปลอดภัยจริงไหม?

    • พวกเขาไม่ได้กำลังทำร้ายตัวเองหรอก
      ผู้ใช้ส่วนใหญ่ไม่สนใจ และผู้จัดการระดับกลางสักคนที่ทำงานอยู่ใน MySkoda ก็สามารถไปรายงานได้ว่า “เราได้หยุดความเสี่ยงด้านความปลอดภัยครั้งใหญ่ และนำข้อมูลผู้ใช้ที่มีค่า ~~ปศุสัตว์~~ กลับเข้าสู่ที่ของมันแล้ว”
    • ผมเคยดูทราฟฟิกที่ Home Assistant สร้างขึ้นโดยตรง และโมเดลการใช้งานมันกลับด้านกันอยู่
      โครงสร้างพื้นฐาน เซิร์ฟเวอร์ และแบนด์วิดท์ล้วนมีต้นทุน
      ไม่ว่าจะชอบหรือไม่ อุปกรณ์ส่วนใหญ่ไม่มีอินเทอร์เฟซแบบโลคัล
      ช่วง 1-2 ปีที่ผ่านมาเริ่มมีอุปกรณ์ Matter ออกมาบ้าง แต่ข้อมูลและความสามารถทั้งหมดก็ไม่ได้มีให้ผ่าน Matter และอุปกรณ์เก่าก็มีโอกาสน้อยมากที่จะได้รับอัปเดตให้รองรับ Matter
      แถม HA ยังเป็นแอปที่รันแบบโลคัลและเน้นโลคัลเป็นหลัก จึงเข้ากันได้ไม่ดีกับระบบส่งต่อ API/ข้อมูลที่อิงคลาวด์ ถ้าฝั่ง OEM ไม่ทำงานพัฒนาเพิ่ม
      สุดท้าย ตอนคำนวณจากระบบภายใน ทราฟฟิกจาก HA ตลอด 24 ชั่วโมงคิดเป็นประมาณ 20% ของทั้งหมด ทั้งที่สัดส่วนผู้ใช้มีไม่ถึง 1%
      เพราะแต่ละอินสแตนซ์เรียก API โดยตรงทุกไม่กี่นาที หรือถี่กว่านั้นอีก
      ถ้าผู้บริหารได้ยินตัวเลขนี้ ก็น่าจะสั่งบล็อกทันที
      ไม่ว่าจะถูกหรือผิด คนก็มักตอบสนองกันแบบนั้น
    • เรื่องแหล่งรายได้เพิ่มนั้น แต่ก่อนการเข้าถึงข้อมูล VW ก็ต้องมี WeConnect subscription อยู่แล้ว
      ต้องจ่ายปีละ 100 ยูโร แต่ตอนนั้นยังเข้าถึงข้อมูลเดียวกันผ่านแอปอื่นหรือระบบอัตโนมัติได้
      ตอนนี้ทั้งที่จ่ายค่าสมาชิกอยู่แล้ว ถ้าอยากเข้าถึงข้อมูลเดิมก็ต้องใช้ WeConnect และพาร์ตเนอร์ของมันเท่านั้น
    • เพราะคนก็จะยังซื้อรถอยู่ดี
      ผู้ใช้ทั่วไปแทบไม่สนเรื่องความเป็นส่วนตัว และพวกเราก็ถูกฝึกให้ชินชากับมันแล้ว
      นี่เป็นแหล่งรายได้จริง และไม่ได้เพิ่มความปลอดภัย
    • ผู้บริหารส่วนใหญ่มักตัดสินใจที่เสียเปรียบในทางธุรกิจเพื่อให้ตัวเองมีอำนาจมากขึ้น
      แทบจะเป็นกฎของโลกธุรกิจเลยว่า ผู้บริหารให้ความสำคัญกับอำนาจของตัวเองก่อนอัตรากำไรของบริษัท
      นี่เป็นหนึ่งในเหตุผลที่การเอางานเขียนโค้ดไปจ้างภายนอกยังได้รับความนิยม ทั้งที่มันไม่ได้ช่วยลดต้นทุนและเป็นหายนะในเชิงธุรกิจด้วยซ้ำ
      ในความสัมพันธ์แบบนั้น ผู้บริหารเป็นฝ่ายกุมพวงมาลัยมากกว่าตอนทำงานกับพวกเราอย่างมาก
      มีคนบอกว่ากลุ่มผู้บริโภค Home Assistant “ไม่สำคัญ” แต่จริงๆ แล้วสำคัญ
      ถึงอย่างนั้น แก่นของเรื่องก็คือผลประโยชน์ที่มองเห็นได้จากการควบคุมข้อมูล เทียบกับความสูญเสียที่มองเห็นได้ยากกว่าจากการเสียความนิยมของผู้บริโภค
      บริษัทไม่ใช่สิ่งมีชีวิตที่มีหน้าที่เดียวคือเพิ่มกำไรให้สูงสุดไม่ว่าจะต้องแลกด้วยอะไร
      ผู้ถือหุ้นกับผู้บริหารไม่ใช่ร่างเดียวกัน แต่มีผลประโยชน์ที่ต่างกัน และบางครั้งก็ขัดกันอย่างมาก

  • Client Assertion เป็นความสามารถหนึ่งของ OAuth แต่สิ่งที่กำลังคุยกันอยู่ที่นี่ไม่ใช่เรื่องนั้นเลย
    มันทำให้สับสนได้ เพราะมีอยู่แค่ในชื่อกระทู้ HN และไม่ได้ปรากฏในหน้าต้นทาง

    • ตอนนี้แอปบังคับให้ใช้ Security Assertion ของไคลเอนต์
      ในกรณีนี้ Android ใช้ Play Protect ส่วน iOS ใช้อะไรบางอย่างที่ฝั่งนั้นใช้กัน
    • อาจเรียกว่า client attestation จะตรงกว่า

  • ดูเหมือนว่า Google ก็มีส่วนในเรื่องนี้ด้วย: https://github.com/robinostlund/homeassistant-volkswagencarn...

    • ใช่ Google กำลังช่วยให้ผู้ขายบล็อกการเข้าถึง API ด้วยการใช้ hardware attestation
      เมื่อไม่นานมานี้ผมพยายามเข้าถึง API ของ MyQ ซึ่งเป็น API ของที่เปิดประตูโรงรถของผมโดยตรง แล้วก็เจอกำแพงเดียวกัน
      ถ้าการที่ Google เอื้อให้เกิดพฤติกรรมแบบนี้ไม่ละเมิดกฎหมายการแข่งขันของ EU เลยแม้แต่นิดเดียว ก็น่าประหลาดใจมาก

  • เมื่อดูจากที่ช่วงหลังมานี้ software supply chain เละเทะกันขนาดไหน การเชื่อมอะไรเข้าหากันสักอย่างเลยให้ความรู้สึกเหมือนเล่นรัสเซียนรูเล็ต
    พูดในฐานะคนที่ใช้ Home Assistant มาหลายปี
    โดยเฉพาะตอนนี้ รถ EV ของผมไม่ใช่ Volkswagen แต่ก็ยังรู้สึกว่าการเอามันไปเชื่อมกับ HA เป็นการยิงเท้าตัวเองที่ค่อนข้างเสี่ยง
    ทั้งที่เมื่อ 3 เดือนก่อนมันยังดูสะดวกชัดๆ

  • ฉันทำสมาร์ทโฮมมานาน และนี่ก็เป็นหนึ่งใน เหตุผลที่ฉันเลิกใช้ Home Assistant
    มันเป็นโปรเจกต์ที่ยอดเยี่ยมและใช้งานได้ดีมาก แต่พึ่งพาเต็มที่กับการที่บริษัทต่าง ๆ จะยังเปิด API ไว้ต่อไป หรือที่พบบ่อยกว่านั้นคือไม่ออกแพตช์ปิดช่องทางที่ทำให้ใช้ API ที่ถูกย้อนวิศวกรรมได้
    น่าเสียดายที่แนวโน้มในช่วงไม่กี่ปีที่ผ่านมาไม่เป็นผลดีกับ HA
    Tesla, Ring, MyQ, Ecobee และรายอื่น ๆ ต่างทยอยปิด API โดยมักอ้างเรื่อง “ข้อกังวลด้านความปลอดภัย”
    มันก็มีเหตุผลอยู่บ้าง แต่ฉันคิดว่าส่วนใหญ่แรงจูงใจคือความกลัวว่าจะเสียรายได้จากการสมัครสมาชิก
    Tesla เก็บเงินแพงมากสำหรับแอป OAuth อย่างเป็นทางการ
    แต่ก็ต้องยอมรับอย่างเป็นธรรมว่าแฮ็กแบบเก่านั้นอาศัยแอป OAuth ที่รั่วไหลและพวกเขาปล่อยทิ้งไว้ไม่แก้ไขด้วย
    Ecobee ซ่อน HomeKit และฟีเจอร์บางส่วนไว้หลังแพ็กเกจสมัครสมาชิก Security+ ซึ่งเมื่อคิดถึงความอ่อนแอของแพลตฟอร์มความปลอดภัยของพวกเขาแล้วก็ดูเหมือนเรื่องตลก
    MyQ ทำแบบนั้นชัดเจนเพื่อปกป้องค่าสมัครสมาชิกปีละ 45 ดอลลาร์ และสุดท้ายก็เสียประโยชน์เองเพราะ RATGDO ดีกว่ามาก
    Ring ยังใช้งานได้อยู่ด้วยเหตุผลบางอย่าง แต่การรองรับ HomeKit Secure Video ก็ไม่น่าไว้ใจมากเพราะกลัวว่า API จะถูกปิดเมื่อไรก็ได้
    สำหรับคนอย่างฉันที่ใช้ HA เป็นหลักเพื่อเชื่อมรวมกับ HomeKit การพึ่งพา HA คือ ระเบิดเวลาลูกหนึ่ง
    ตอนย้ายไปบ้านใหม่ ฉันเลยมุ่งหาของที่รองรับ HomeKit แบบเนทีฟโดยไม่ต้องพึ่งทางอ้อม และผลก็คือตอนนี้สมาร์ทโฮมของฉันทำงานได้ดีกว่ามาก

    • ฟังดูไม่ใช่เหตุผลที่จะเลิกใช้ Home Assistant เท่าไร แต่เป็นเหตุผลมากกว่าว่าไม่ควรซื้อ ผลิตภัณฑ์ปิดและใช้ได้ผ่านคลาวด์เท่านั้น มาเชื่อมกับ Home Assistant
    • นั่นเหมือนหนีเสือปะจระเข้
      ฉันเองก็เริ่มต้นระบบอัตโนมัติในบ้านแบบเดียวกัน และแนวทางที่ยึด HomeKit เป็นศูนย์กลางก็ถือว่าใช้ได้ดีทีเดียว
      แต่ขั้นถัดไปที่ฉันมองไว้คือใช้ HA กับอุปกรณ์ที่ควบคุมได้แบบโลคัล 100% แล้วให้มัน bridge ไปยัง HomeKit
      อุปกรณ์ที่รองรับเฉพาะ HomeKit มักมีปัญหาความเสถียรของ Wi-Fi แย่มาก และทุกวันนี้ก็น่าจะต้องใส่ใจกับการทำงานของ Matter/Thread มากขึ้น
      มีคนบ่นเรื่อง Zigbee/Z-Wave อยู่บ้าง แต่โดยเฉลี่ยแล้วมันดีกว่า HomeKit ที่อิง Wi-Fi มาก
    • ฉันมีเอนทิตีใน HA มากกว่า 50 ตัว และไม่มีบริษัทไหนในโลกจะทำให้แม้แต่ตัวเดียวหยุดทำงานได้
      พูดตามตรง จากสิ่งที่ถูกพูดถึงทั้งหมด HA นี่แหละที่ ห่างไกลจากการเป็นระเบิดเวลามากที่สุด

  • รถคันต่อไปของฉันคงไม่ใช่ Sköda หรือ Volkswagen แน่ ๆ

    • งั้นกำลังมองแบรนด์ไหนอยู่?

  • Remote attestation ควรถูกทำให้ผิดกฎหมาย ไม่ว่า root certificate จะออกโดยใครก็ตาม จะเป็น Google, Apple หรือ GrapheneOS ก็ตาม
    การใช้งานอย่างเดียวของเทคโนโลยีนี้ในตอนนี้คือขัดขวางไม่ให้ผู้คนทำในสิ่งที่ต้องการกับอุปกรณ์ที่ตนเป็นเจ้าของ และทำให้การทำงานร่วมกันเป็นไปไม่ได้ในเชิงคริปโตกราฟี
    มันต่อต้านการแข่งขัน ดังนั้นควรผิดกฎหมายไปเลย

    • ภายใน 5-10 ปี มีความเป็นไปได้จริงที่จะมีแล็ปท็อปและสมาร์ทโฟนที่ใช้โปรเซสเซอร์และระบบปฏิบัติการแบบเปิด พร้อม UX และ OS ที่ดีพอ ๆ กับหรือดีกว่าผลิตภัณฑ์กรรมสิทธิ์
      แต่ถ้า Remote attestation แพร่หลายมากขึ้น ก็อาจทำให้ใช้งานบริการใด ๆ ได้ยากในเชิงคริปโตกราฟี จนสุดท้ายอุปกรณ์เหล่านี้แทบไร้ประโยชน์สำหรับผู้บริโภคทั่วไป
    • ใน EU มันผิดกฎหมายอยู่แล้วภายใต้ EU Data Act
      พวกผู้บริหารของ VW ก็เป็นแค่อาชญากรที่ไม่สนใจอะไร เพราะคิดว่ายังบิดกฎหมายได้เหมือนสมัยก่อน
    • สิ่งที่ควรมองหาจริง ๆ คือบริการหรือผลิตภัณฑ์ที่ไม่ต้องมี API
      กล่าวคือมันต้องทำงานได้โดยไม่พึ่งคลาวด์
      หรือไม่ก็เลือกผลิตภัณฑ์หรือบริษัทที่ให้สิทธิ์เข้าถึง API ของผลิตภัณฑ์นั้นอย่างชัดเจน
    • การตะโกนว่า remote attestation ไม่มีการใช้งานที่ชอบธรรมเลยนั้นไร้สาระ
      มันมีประโยชน์เมื่อฉันนำอุปกรณ์ที่ฉันเป็นเจ้าของไปใช้งานในสภาพแวดล้อมที่คนไม่พึงประสงค์อาจเข้าถึงทางกายภาพและดึง credential ออกมาได้
      มันยังจำเป็นเมื่อต้องการให้ผู้คนเข้าถึงข้อมูลบริษัทที่อ่อนไหวได้จากอุปกรณ์ที่บริษัทจัดให้เท่านั้น และป้องกันไม่ให้คัดลอกข้อมูลที่เข้าถึงได้ไปไว้ที่อื่นตามใจชอบ
      มันยังจำเป็นสำหรับป้องกันการใช้โทรศัพท์มือถือเป็นเครื่องรับชำระเงินผ่านบัตรโดยแสดงยอดหนึ่งบนหน้าจอ แต่จริง ๆ ไปอนุมัติอีกยอดหนึ่ง
      ฉันเห็นด้วยค่อนข้างมากว่าทุกสิ่งที่ฉันเป็นเจ้าของควรให้ข้อมูลที่มันสร้างขึ้นมาในรูปแบบเปิด แต่การบอกว่าการ attestation ไม่มีกรณีใช้งานที่ชอบธรรมเลยนั้นไม่ตรงกับความจริง