Als Schutz gegen Cross-Site-Scripting sind seit Jahren Sicherheitsverfahren wie CSP etabliert. Nun sollten Webseitenbetreiber plötzlich dafür zahlen.
Mit offensichtlich unberechtigten Patentansprüchen bei der Browsersicherheit hat eine britische Computerfirma für Verwirrung gesorgt. Die im südenglischen Haywards Heath ansässige Firma Datawing hat in Schreiben an Webseitenbetreiber das Patent auf die sogenannte Content Security Policy (CSP) 2.0 reklamiert, mit der Browserhersteller das nicht autorisierte Ausführen von Javascript-Code durch Webseiten per Cross-Site-Scripting (XSS) verhindern wollen. Inzwischen hat sich die Firma für die Briefe entschuldigt.
In dem Schreiben behauptet Datawing-Direktor William Coppock, schon zwei Jahre vor der Veröffentlichung des CSP-2.0-Standards im Jahr 2013 das Verfahren per Nonce-Wert entwickelt zu haben. Ein Nonce-Wert muss für jede Verschlüsselungsoperation einmalig sein. Das Verfahren hat sich Datawing demnach durch Patente in Großbritannien (GB 2496107) und den USA (8959628) schützen lassen.
Dieses Verfahren werde im Datawing-Produkt Scriptlock eingesetzt, das den XSS-Schutz per Nonce auch bei älteren Browsern ermögliche, die nur CSP 1.0 unterstützen, heißt es in dem Schreiben. Coppock fordert darin die Webseitenbetreiber auf, entweder Scriptlock zu kaufen oder eine Lizenz für das Patent zu erwerben. Alternativ könne auch der Serviceprovider aufgefordert werden, die zu tun.
Der Hacker Scott Helme hat auf seinem Blog Material zusammengetragen, um die Ansprüche von Datawing zu widerlegen. Zudem entwickelte sich nach seinem Twitter-Beitrag eine intensive Diskussion unter Entwicklern, was den angeblichen Patentschutz für das Nonce-Verfahren betrifft. Dabei wurde auch ein Blogpost des inzwischen verstorbenen Entwicklers Gervase Markham verlinkt, der 2005 ein entsprechendes Verfahren durch einen Einmalschlüssel vorgeschlagen hatte.
Datawing-Chef bittet um Entschuldigung
Die Webseite The Register konfrontierte mit diesen Erkenntnissen Datawing-Direktor Coppock, der sich anschließend zerknirscht zeigte. "Was bin ich für ein blöder Trottel", sagte er und verwies darauf, dass er sechs Kinder habe und an Krebs erkrankt sei. Die Beantragung der Patente habe ihn seine Ersparnisse gekostet. "Ich wollte niemandem Schaden zufügen", sagte Coppock und fügte hinzu: "Vielleicht sollte ich das einfach verkaufen oder Mozilla geben."
Coppock habe bestritten, ein Patenttroll zu sein, schreibt The Register. Er bitte alle 25 Empfänger seines Briefes um Entschuldigung und fordere sie auf, sich bei Rückfragen an ihn zu wenden. Laut Coppock hat eine Anwaltskanzlei das Schreiben vorab auf Rechtmäßigkeit hin geprüft.
Dem Bericht zufolge dürfte der Firma zumindest kein juristischer Ärger wegen der unberechtigten Anmeldung von Patentansprüchen drohen. Denn Datawing habe in dem Schreiben selbst keine juristischen Schritte angedroht, wenn keine Lizenzen erworben würden.
Patentansprüche auf CSP 2.0: Firma will für etablierten Webstandard abkassieren - Golem.de - Golem.de
Read More
No comments:
Post a Comment