/dev/null - Overig

OpenSource software license en afgeleiden

18-12-2021, 10:10 door Anoniem, 8 reacties
Met Log4J in het achterhoofd vraagt ik mij af in hoeverre er niet massaal gebruik wordt gemaakt van dit soort software zonder dat de licence goed wordt nageleefd.

Op https://logging.apache.org/log4j/2.x/license.html staat een duidelijke licence file.

In iOS zie je onder instellingen > Juridische informatie en regelgeving > Juridische informatie netjes welke licences iOS gebruikt. Ok, het is een ongelofelijk lange lijst die veel netter gepresenteerd kan worden, maar het staat er wel.

Maar kijkende naar random websites ik zie ik niet dat daar Log4J wordt gebruikt, op die sites staat nergens ook maar een verwijzing naar die software (of de licence).

(Mis/ge)bruiken velen niet massaal open-source software om zelf de mooiste dingen te maken (en te verkopen), zonder de auteurs van hun software ook maar te bedanken (in tekst, niet eens in geld) en breekt ze dat nu langzaam op (o.a. omdat ze ook niet weten dat ze die software gebruiken als er iets aan de hand is)?
Reacties (8)
18-12-2021, 15:05 door Anoniem
Geldt vaak alleen voor distributie, niet voor eigen gebruik.
18-12-2021, 15:31 door walmare
Open source (gpl) zal best massaal worden misbruikt door gesloten bedrijven (ik weet het want ik heb ook voor zo'n bedrijf gewerkt). Er zijn vroeger wat rechtzaken geweest tegen bv Siemens, Fujitsu-Siemens, Asus, Belkin etc. Zie (niet meer onderhouden) https://gpl-violations.org/faq/violation-faq/
Voor vwb de Apache license wat van toepassing is op log4j:
The Apache license says “do whatever you want with this, just don’t sue me”
18-12-2021, 21:31 door Anoniem
19-12-2021, 06:30 door Anoniem
Door Anoniem: Maar kijkende naar random websites ik zie ik niet dat daar Log4J wordt gebruikt, op die sites staat nergens ook maar een verwijzing naar die software (of de licence).
Als een website Log4j gebruikt dan gebeurt dat op de server. De software wordt niet gedistribueerd naar elke bezoeker van die website. De verplichting om de licentie te vermelden heeft betrekking op herdistributie van de software. Als Log4j niet bij de bezoeker van zo'n website belandt is die verplichting er niet. Pas als een website Log4j als download aanbiedt ontstaat die, en daar zal geen sprake van zijn bij de willekeurige websites die je bekeken hebt.

Trouwens, Log4j is een component voor Java-applicaties. Lang niet elke website draait op Java. Voor als je denkt dat het hetzelfde is: Java staat volledig los van JavaScript; de naam JavaScript is een erg ongelukkige keuze geweest die hardnekkige misverstanden in de hand werkt. Het is niet hetzelfde. Ongeveer de helft van de websites wereldwijd draait bijvoorbeeld op WordPress, en dat is niet op Java maar op PHP gebaseerd.

(Mis/ge)bruiken velen niet massaal open-source software om zelf de mooiste dingen te maken (en te verkopen), zonder de auteurs van hun software ook maar te bedanken (in tekst, niet eens in geld)
Gebruikers van de software die niet dankjewel zeggen of een andere tegenprestatie leveren plegen niet meteen misbruik. Het open source-model van softwaredistributie staat dat expliciet toe, het is ingecalculeerd dat dat gebeurt. Hierboven noemden anderen al voorbeelden van wat wel degelijk misbruik is. Maar niet vermelden op een website dat die op de achtergrond Log4j gebruikt is daar geen voorbeeld van, dat mag gewoon.
en breekt ze dat nu langzaam op (o.a. omdat ze ook niet weten dat ze die software gebruiken als er iets aan de hand is)?
Het is niet het misbruik dat je veronderstelt of gebrek aan dankjewel zeggen dat ze opbreekt.

Niet overzien wat je eigenlijk aan software gebruikt is wel iets dat je stevig kan opbreken. Het heeft evidente voordelen om gebruik te maken van softwarecomponenten die gewoon beschikbaar zijn in plaats van zelf elk wiel opnieuw uit te vinden, maar het nadeel is wel dat je door niet zelf in al die materie te duiken nog maar heel moeilijk kan overzien wat er eigenlijk allemaal gebeurt in die software. Dat geldt voor softwareontwikkelaars die componenten van anderen gebruiken in wat ze schrijven, en voor gebruikers van software die ooit zelf een ontwikkelafdeling zouden hebben gehad en nu draaien op wat makkelijk beschikbaar is.
19-12-2021, 15:47 door Anoniem
Hier is een interessant commentaar, van de maker van PuTTY, een bekende open source SSH client, als reactie op deze uitspraak:
The internet (and many large companies) are dependent on software maintained by people in their spare time, for free. This may not be sustainable
Die is weer een reactie op het lek in Log4j. Hij is het ermee oneens, en zijn reactie raakt denk ik aan het misbruik dat jij aankaart.

Zijn reactie begint met:
I don't feel exploited, or undervalued, when my free software is used by companies without paying me. It's not some kind of accident that I made it possible for them to do that. It was on purpose, in the hope that they would.

Hij beschrijft zijn redenen om open source-software te maken, hij beschrijft hoe sommige bedrijven zich gedragen alsof ze ervoor betaald hebben, tot ze eraan herinnerd worden dat dat niet zo is, en hij schrijft dit:

When it comes to companies depending on my stuff, I take the same no-nonsense attitude, because in every free software licence agreement (even the maximally permissive MIT, my usual choice) is that all-important "NO WARRANTY" clause, and it's there for exactly this reason, and I'm happy to push back if people try to ignore that. If your company is going to come crashing down if some particular bug in my stuff is not fixed – then you can fix it! I even provided all the source code to make it easy for you! With your whole company at stake you can afford to spend a programmer or two's time on that. And if you don't have any programmers on staff, you must at least have money, so try hiring one. You don't get to tell me that it's simultaneously too vital for you to survive without the fix and too footling for you to spend any of your own resources on. Pick one.

Zijn hele verhaal:
https://andrewducker.dreamwidth.org/4085856.html?thread=28352864
19-12-2021, 18:59 door Anoniem
Door Anoniem: Hier is een interessant commentaar, van de maker van PuTTY, een bekende open source SSH client, als reactie op deze uitspraak:
The internet (and many large companies) are dependent on software maintained by people in their spare time, for free. This may not be sustainable
Die is weer een reactie op het lek in Log4j. Hij is het ermee oneens, en zijn reactie raakt denk ik aan het misbruik dat jij aankaart.

Zijn reactie begint met:
I don't feel exploited, or undervalued, when my free software is used by companies without paying me. It's not some kind of accident that I made it possible for them to do that. It was on purpose, in the hope that they would.

Hij beschrijft zijn redenen om open source-software te maken, hij beschrijft hoe sommige bedrijven zich gedragen alsof ze ervoor betaald hebben, tot ze eraan herinnerd worden dat dat niet zo is, en hij schrijft dit:

When it comes to companies depending on my stuff, I take the same no-nonsense attitude, because in every free software licence agreement (even the maximally permissive MIT, my usual choice) is that all-important "NO WARRANTY" clause, and it's there for exactly this reason, and I'm happy to push back if people try to ignore that. If your company is going to come crashing down if some particular bug in my stuff is not fixed – then you can fix it! I even provided all the source code to make it easy for you! With your whole company at stake you can afford to spend a programmer or two's time on that. And if you don't have any programmers on staff, you must at least have money, so try hiring one. You don't get to tell me that it's simultaneously too vital for you to survive without the fix and too footling for you to spend any of your own resources on. Pick one.

Zijn hele verhaal:
https://andrewducker.dreamwidth.org/4085856.html?thread=28352864
Interessant stuk Bedankt! Die log4j ontwikkelaar had het beter door een groot bedrijf kunnen laten fixen en hij pushen. Ik had de paniek wel eens willen zien.
19-12-2021, 21:53 door Anoniem
Door Anoniem:
Door Anoniem: Hier is een interessant commentaar, van de maker van PuTTY, een bekende open source SSH client, als reactie op deze uitspraak:
The internet (and many large companies) are dependent on software maintained by people in their spare time, for free. This may not be sustainable
Die is weer een reactie op het lek in Log4j. Hij is het ermee oneens, en zijn reactie raakt denk ik aan het misbruik dat jij aankaart.

Zijn reactie begint met:
I don't feel exploited, or undervalued, when my free software is used by companies without paying me. It's not some kind of accident that I made it possible for them to do that. It was on purpose, in the hope that they would.

Hij beschrijft zijn redenen om open source-software te maken, hij beschrijft hoe sommige bedrijven zich gedragen alsof ze ervoor betaald hebben, tot ze eraan herinnerd worden dat dat niet zo is, en hij schrijft dit:

When it comes to companies depending on my stuff, I take the same no-nonsense attitude, because in every free software licence agreement (even the maximally permissive MIT, my usual choice) is that all-important "NO WARRANTY" clause, and it's there for exactly this reason, and I'm happy to push back if people try to ignore that. If your company is going to come crashing down if some particular bug in my stuff is not fixed – then you can fix it! I even provided all the source code to make it easy for you! With your whole company at stake you can afford to spend a programmer or two's time on that. And if you don't have any programmers on staff, you must at least have money, so try hiring one. You don't get to tell me that it's simultaneously too vital for you to survive without the fix and too footling for you to spend any of your own resources on. Pick one.

Zijn hele verhaal:
https://andrewducker.dreamwidth.org/4085856.html?thread=28352864
Interessant stuk Bedankt! Die log4j ontwikkelaar had het beter door een groot bedrijf kunnen laten fixen en hij pushen. Ik had de paniek wel eens willen zien.
Geen beter vermaak dan leed vermaak, toch?
20-12-2021, 17:50 door Anoniem
Interessant stuk Bedankt! Die log4j ontwikkelaar had het beter door een groot bedrijf kunnen laten fixen en hij pushen. Ik had de paniek wel eens willen zien.[/quote]
Of wachten tot iemand hem een donatie geeft om de fix te schrijven.
Er zijn wel open-source projecten die op basis van verzoeken werken en betalen helpt het dan te versnellen.
Nu hebben ze waarschijnlijk slapeloze nachten en schieten ze er zelf niets mee op.

--

In hoeverre is het verwijderen van de LICENCE.html bij bv. WordPress eigenlijk een probleem, want die leveren ze wel altijd mee op een publieke map (en pen-testers adviseren altijd alles op te ruimen wat niet strikt noodzakelijk is, dus weg ermee).

Ik zou zelf bv. best de keuze willen krijgen/geven: of je zegt bedankt (linkje naar het project), of je betaald een beetje voor het gebruik (op een grote hoop en kun je als project 1x per jaar wat leuks gaan doen). Met beide ben ik, ook als ontwikkelaar van behoorlijk minder belangrijke open-source software, heel blij. Maar die licence vorm bestaat lijkt het niet.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.