[linux-l] GPLv3 erschienen

Mike Dornberger Mike.Dornberger at gmx.de
Sa Jul 21 16:37:43 CEST 2007 

Hi,

On Sat, Jul 21, 2007 at 02:27:17AM +0200, olafBuddenhagen at gmx.net wrote:
> On Fri, Jul 20, 2007 at 11:54:05PM +0200, Steffen Dettmer wrote:
> > * olafBuddenhagen at gmx.net wrote on Tue, Jul 17, 2007 at 03:03 +0200:
> 
> > > Sehe keinen Grund, wieso die Software auf dem Kartenleser nicht
> > > austauschbar sein sollte. 
> > 
> > na huch... Wenn Dir nicht klar ist, warum man sich gegen Softwaretausch
> > schützen mag (das Beispiel Trojaner sollte eigentlich hinlänglich
> > bekannt sein),
> 
> Du bist der Ansicht, der Anwender sollte vor Trojanern geschützt werden,
> indem man ihm die Möglichkeit nimmt, modifizierte Software zu
> installieren? Das allerdings eine sehr radikale Ansicht -- ich hoffe Du
> siehst ein, dass die nicht wirklich mit der GPL vereinbar ist.

ich glaube, was Steffen hier meint, ist eine Situation wie die folgende:

Ein böser Restaurantbesitzer modifiziert seinen Kartenleser, damit er dir
(dem Gast) eine Rechnung X anzeigt, die du mit deiner PIN bestätigen sollst.
Da es der Betrag ist, den du laut Karte auch ausgerechnet hast, bestätigst
du das natürlich als ehrlicher Kunde. In Wirklichkeit wird dir aber X+Y
(Y>0) abgebucht. Oder er bucht wirklich nur X ab und verkauft die Daten
deiner Karte samt PIN "in Richtung Osteuropa". (Falls das da noch
funktioniert, daß Geräte dort kopierte Karten annehmen, wenn die PIN
stimmt.)

Natürlich will ich als Karteninhaber darauf vertrauen, daß die Lesegeräte
wie spezifiziert funktionieren und nicht, daß sie manipuliert sind. Und hier
könnte es tatsächlich sinnvoll sein, sich den Sourcecode ansehen zu dürfen,
ohne jedoch Änderungen am Gerät vornehmen zu können. Stelle ich fest, daß z.
B. die Verschlüsselung der Daten vom Kartenleser zur Bank eine
Schwachstelle hat, teile ich das der Bank mit und die liefert dann neue
Geräte (oder halt gepatchte alte) an ihre Kunden. (Was sie wohl kostenlos
machen wird, damit sie ihre Kunden nicht verärgert.)

Natürlich hätte das Steffen auch mal schreiben können, als immer nur von
Sicherheitsmodulen zu reden, wenn er sowas meint. Außerdem könnte es auch
sein, daß das Lesegerät dem Gastwirt gar nicht gehört, sondern seiner Bank,
so wie es bei normalen Kreditkarten auch ist. Sie sind Eigentum der Bank und
bei z. B. Vertragsende zurückzugeben (und der Verlust ist sofort
anzuzeigen).

Außerdem könnte hier in der GPLv3 der Abschnitt mit den Consumer-Geräten zum
Tragen kommen, also, daß selbst wenn der Gastwirt das Gerät für sich gekauft
hat, er trotzdem z. B. solch einen "Hardwareschutz-Key" nicht mitgeliefert
bekommen muß, da es eben kein Consumer-Gerät ist.

Gruß,
 Mike

Mehr Informationen über die Mailingliste linux-l