Login
Newsletter
Werbung

Thema: Tool will SCO-Code auf den Zahn fühlen

39 Kommentar(e) || Alle anzeigen ||  RSS
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von Michael Flaig am Mi, 10. September 2003 um 12:20 #
Wenn ich das richtig verstehe wird aus 3 Zeilen eine md5 summe gebildet und diese verglichen mit anderen md5 summen.
OK, aber wie soll das bei SCO Code funktionieren, der ja nicht öffentlich ist? Muss SCO dann ihren Code durchgehen und die md5 summen bereit stellen, oder wie soll das genau funktionieren. Wenn die md5 summen bereit gestellt werden, muss man natürlich auch darauf vertrauen, dass die firma das korrekt gemacht hat.

Andererseits ist die Quelle des Codes zu diesem Zeitpunkt noch unbekannt und wie man gesehen hat hält SCO Code, der schon ewig unter BSD zu stehen scheint für "Ihren" Code. Auch ist zu diesem Zeitpunkt noch unklar, wann der Code in SCO Unix auftauchte und wann in Linux.

Ich bin mal gespannt, wann das Tool zum einsatz kommt und was es findet. Wir werden sehen.

Gruß,

Michael

[
| Versenden | Drucken ]
  • 0
    Von Oliver Schwinn am Mi, 10. September 2003 um 13:17 #
    Das kann nur über einen für beide Seiten vertrauensvollen Dritten geschehen, der sowohl Einblick in die SCO Quellen hat und diese nicht veröffentlicht (sondern nur die md5 Summen), als auch von der OS community anerkannt wird, d.h.: man kann drauf vertrauen, dass der echte SCO-Code ge"shredded" wird.

    Olli

    [
    | Versenden | Drucken ]
    0
    Von MoMo am Mi, 10. September 2003 um 13:31 #
    Meiner Meinung ist die Taktik eine Andere. Da es viele Firmen gibt (unter anderem IBM und SGI), die Zugang zu den Sources von SCO haben diese aber nicht veroeffentlichen duerfen, liegt es auf der Hand, dass sie statt dem Code nur die MD5-Summen den Kernel-Leuten schicken. Damit verstossen sie nicht gegen die NDAs von SCO und die Kernel-Hacker koennen sich alle Uebereinstimmungen in Ruhe anschauen.

    Ob allerdings eine Veroeffentlichung dieses Tools klug war, ist eine andere Sache. Damit hat SCO nun ein Werkzeug, mit dem sie selber nachschauen koennen, ob und welche Passagen des SCO-Codes im Kernel enthalten sind.

    Bleibt nur zu hoffen, dass jetzt eine Firma eine Liste aller Hashes den Hackern zukommen laesst und diese alle freglichen Stellen aus dem Kernel rauskicken koennen. Sollte allerdings die Prognose von SCO zutreffen und Linux "mehr als eine Million Code-Zeilen" von UNIX System V beinhalten, dann kann es ein wenig dauern den rauszuschmeissen... :(

    [
    | Versenden | Drucken ]
    • 0
      Von Michael Flaig am Mi, 10. September 2003 um 14:32 #
      Ja stimmt, daran habe ich garnicht gedacht. Aber klar, dann macht es sinn.

      Nunja, wenn SCO ein Open Source Tool verwendet um diese Prüfung zu machen, dann würden sie ja ihre eigenen Aussagen über Open Source irgendwie entkräften.

      Ich denke nicht, dass es solche Stellen gibt. Rauskicken bringt zwar was, wenn man es ersetzt durch besseren Code :), aber es war mal drin und das sollte man auch nicht vertuschen. Ich denke die behauptung von SCO ist schon alleine Lächerlich, da Sie ja bereits bewiesen haben, dass Sie nicht geprüft haben, aber der Code der übereinstimmt überhaupt Ihnen gehört.

      Gruß,

      Michael

      [
      | Versenden | Drucken ]
      0
      Von Falk am Mi, 10. September 2003 um 14:32 #
      Damit verstossen sie nicht gegen die NDAs von SCO und die Kernel-Hacker koennen sich alle Uebereinstimmungen in Ruhe anschauen.
      Der Meinung bin ich auch. Auf diese Weise ist man sogar in der Lage, weiterhin keine Kenntnis des propritären Codes zu haben, so daß man auch später nicht gegen das Urheberrecht verstoßen kann.

      Aber in einem hat McBride recht:
      Ein nachfolger von CVS sollte herausfinden können, aus welchem Patch eine Codezeile stammt. Außerdem genügt es nicht, daß Code unter einer freien Lizenz veröffentlicht wird, sondern wenn man ihn benutzt, sollte man es auch beweisen können (und die Beweise archivieren). Wenn man sich ansieht, wieviel Internetgeschichte tagtäglich verlorengeht, sicherlich kein leichtes Unterfangen.

      [
      | Versenden | Drucken ]
      • 0
        Von CE am Mi, 10. September 2003 um 15:02 #
        Ich halte das für bedenklich, wenn jemand beweisen soll, dass sein eigener Code nicht geklaut ist.

        Eigentlich muss der das Gegenteil beweisen, der die Behauptung aufstellt.

        Wenn IBM, etc. etwas beitragen, wäre es schon schön, wenn sie die rechtliche Unbedenklichkeit garantieren könnten.

        [
        | Versenden | Drucken ]
        • 0
          Von Michael Flaig am Mi, 10. September 2003 um 15:07 #
          Da sind wir schon fast beim Punkt.
          SCO muss erstmal was beweisen ... bisher warŽs nur heisse Luft...
          [
          | Versenden | Drucken ]
      0
      Von husky am Mi, 10. September 2003 um 16:15 #
      Ob allerdings eine Veroeffentlichung dieses Tools klug war, ist eine andere Sache. Damit hat SCO nun ein Werkzeug, mit dem sie selber nachschauen koennen, ob und welche Passagen des SCO-Codes im Kernel enthalten sind.

      Es ist m.E. auf jeden Fall ein kluger Schritt - wenn die Community nix zu verbergen hat, dann kann Sie auch ruhigen Gewissens solche Tools freigeben und so auch für jedermann nachvollziehbar machen, wie jetzt der Beweis geführt wird.
      Klar kann SCO jetzt gucken, welche Zeilen vielleicht identisch sind, aber damit ist noch lange nicht bewiesen, daß sie geklaut sind - wie man ja an den präsentierten Zeilen sehen kann, die nach Community-Sicht ja auch BSD-Quellen stammen und nicht von SCO. Daß SCO natürlich nur das sagt, was ihr genehm ist, ist dabei ja was völlig anderes...

      best regards,

      husky

      [
      | Versenden | Drucken ]
    0
    Von Roland Hilkenbach am Mi, 10. September 2003 um 14:17 #
    Das Tool erleichtert zunächst einmal die Abgrenzung zwischen strittigen und unstrittigen Passagen. Damit können sich dann z.B. die Hersteller von embedded-Produkten von der SCO-Forderung distanzieren, wenn die Übereinstimmungen ausschließlich im NUMA und SMP-Bereich lägen.

    Wenn es eine Übereinstimmung zwischen Code-Bereichen gibt, ist es Aufgabe von Gerichten zu klären, wie es mit dem Copyright aussieht: Wer hat da von wem abgekupfert? Es wäre ja auch denkbar, dass SCO-nahe Entwickler sich des Linux-Codes bedient hätten um ihr Fahrrad verkehrstauglich zu machen ;-)

    Das Argument mit der NDA halte ich für wenig überzeugend, denn wenn ich MD5 und Co. richtig verstehe, sind die Prüfsummen nur dann identisch, wenn die geprüften Zeilen bis auf's i-Tüpfelchen übereinstimmen. Dann ist es aber doch eigentlich egal, ob man auf den öffentlich "lesbaren" Linux-Kernel-Quelltext verweist, oder auf den ach so geheimen SCO-Quältext - die sind ja schließlich an der fraglichen Stelle identisch.

    Ciao

    Roland

    [
    | Versenden | Drucken ]
    0
    Von nixname am Mi, 10. September 2003 um 14:45 #
    Eine Möglichkeit ist die Veröffentlichung der md5 Summen. Damit gebe ich noch keinen Quellcode preis, biete aber allen die Möglichkeit ihren Code mit meinem zu vergleichen und gleichlautende Code-Passagen zu finden.
    [
    | Versenden | Drucken ]
    • 0
      Von Roland Hilkenbach am Mi, 10. September 2003 um 15:18 #
      Aber da ist ja gerade mein Verständnis-Problem!

      Ob ich sage, der Quelltext von SCO hat dieselbe MD5-Summe wie der Quelltext "BlaBlaBla", der in meinem Programm steht oder ob ich sage, SCO verwendet im Quelltext die Zeile "BlaBlaBla" - genau wie ich.

      Wo ist da der Unterschied? Im ersten Fall veröffentliche ich nicht den Quelltext von SCO sondern meinen eigenen und damit halte ich mich an eine NDA. Im zweiten Fall mache ich mich strafbar, weil ich den geschützten SCO-Code veröffentliche? Das will mir nicht in den Sinn!

      Ciao

      Roland

      [
      | Versenden | Drucken ]
      • 0
        Von MaDMaik am Mi, 10. September 2003 um 15:44 #
        Hallo Roland,

        ich verstehe Dein Problem. Alledings besteht der Unterschied zwischem der Weitergabe des gesamten Quellcodes und der der MD5-Summen darin, daß Du bei letzteren höchstens die Code-Abschnitte aus ersterem erkennst, welche mit dem zu vergleichenden Code identisch sind.


        Grüße,
        Maik

        [
        | Versenden | Drucken ]
0
Von Robert Harrer am Mi, 10. September 2003 um 14:07 #
Also als Laie hätte ich hier einmal eine Frage:
Wieso ist es so schwierig herauszufinden, ober Codeteile von SCO im Linux-Kernel sind?
Wie kann der Source Code denn versteckt sein, wenn ich zB eine Cd des Herstellers habe? Da müssen ja alle "Infos" darauf sein, damit das Ding ja überhaupt funktioniert? Funktioniert es nicht, wenn ich einfach zB eine Suse Linux CD hernehme und die nach illegalen Code-Zeilen durchsuche?

LG,
Robert.

[
| Versenden | Drucken ]
  • 0
    Von TomZ am Mi, 10. September 2003 um 14:11 #
    genau das ist das Problem: Die Linux-Sourcen haste zwar, aber nicht die von SCO ...
    [
    | Versenden | Drucken ]
    • 0
      Von Robert Harrer am Mi, 10. September 2003 um 14:14 #
      Also wenn ich das richtig verstehe, besteht ein Unterschied zwischen dem Source Code und dem eigentlichen Produkt, so wie ich es zB auf CD kaufen kann?

      Robert

      [
      | Versenden | Drucken ]
      • 0
        Von Roland Hilkenbach am Mi, 10. September 2003 um 14:25 #
        Genau richtig!

        Programme werden im Quelltext geschrieben und von Compilern etc. in den Binärcode übersetzt. Der Quelltext ist für Menschen halbwegs verständlich - keine Flames über die verschiedenen Programmierstile bitte ;-) - Dieser Code könnte natürlich sehr leicht mit anderen Quelltexten verglichen werden.

        Open Source Software veröffentlicht eben gerade diese Quellcodes, während Closed Source Software nur den für den Prozessor wichtigen Binärcode ausliefert, die Quelltexte dagegen als Firmengeheimnis wegschließt.

        Von Windows hättest Du aber beispielsweise nur den Binärcode, den zwar der Prozessor verstehen kann, unsereins dagegen nur schwerlich! Und - das ist das Hauptproblem - man kann ihn nicht mit den Codes anderer Systeme vergleichen.

        Ciao

        Roland

        [
        | Versenden | Drucken ]
        • 0
          Von Robert Harrer am Mi, 10. September 2003 um 14:31 #
          Danke, meine Frage ist hiermit beantwortet! :-)

          LG,
          Robert.

          [
          | Versenden | Drucken ]
0
Von ypsilon am Mi, 10. September 2003 um 15:26 #
Gab es solch ein tool nicht schon mal vor nicht allzu langer zeit? es ist genau im bezug zum sco-sachverhalt aufgetaucht und dann hat man nie wieder was davon gehört.

also sehr sinnvoll ist es allemal nicht. wer soll die ganzen md5-hashes verwalten? ist kollisionsfreiheit überhaupt gewährleistet? immerhin reden wir hier von enorm vielen verschiedenen dreizeilern.

außerdem bleibt dann noch immer die frage des ursprungs. wer hat von wem geklaut? unter welchen lizenzen wurde der code bereits freigegeben? das lässt sich mit irgendwelchen md5-checksums nicht mehr sicherstellen.

und dann ist da noch die nicht zu vernachlässigende tatsache, dass die beweislast jawohl eindeutig bei sco liegt.

[
| Versenden | Drucken ]
  • 0
    Von Christophorus am Mi, 10. September 2003 um 16:06 #
    Jo, ein solches Tool tauchte auch schon in einem Frühstadium des Rechtsstreites auf. Ich habe damals auch schon meine bedenken geäußert. Folgende Fragen tauchten damals und tauchen jetzt auch wieder auf:
    1.) Wer kann sicherstellen, dass die MD5-Summen, die SCO vielleicht veröffentlichen könnte, wirklich vom Kernelcodes ihres Kernels stammen???
    2.) Da MD% prinzipbedingt selbst bei kleinen Ungleichheiten große Unterschiede in den Summen liefert, kann schon eine leere Zeile oder nur ein dummes Kommentarzeichen mehr das ganze Bild sehr verzerren.
    etc.
    etc.
    Auch dürfte es ein leichtes für SCO sein, Codepassagen nachträglich einzubauen. Da gibt es ja kein so schwer manipulierbares Versionskontrollsystem wie bei den Linuxkernelentwicklern, denke ich mal.
    Aber glücklicherweise liegt die Beweislast ja eindeutig bei SCO.
    So long, gentlemen...
    [
    | Versenden | Drucken ]
    • 0
      Von Teq am Do, 11. September 2003 um 08:57 #
      Ich bin zwar nicht so der Programmierer, aber kann man nicht einfach den code dur nen precompiler jagen (da werden doch unter anderem Kommentare rausgeschmissen etc. etc.) und ihn damit angleichen ???

      Greetz

      [
      | Versenden | Drucken ]
0
Von Scheffe am Mi, 10. September 2003 um 16:14 #
The source trees get sliced into overlapping three-line shreds. The shreds then get turned into a list of 32-byte signatures by a process called MD5 hashing; each signature keeps information about its file and line number range.

---

Erst dadurch das die MD5-Signaturen überlappend erstellt werden, ist das Verfahren sinnvoll. So wie es in obigem Artikel beschrieben wird, würde es keinen Sinn machen.

[
| Versenden | Drucken ]
0
Von MS Master am Mi, 10. September 2003 um 16:42 #
Hi all,

ich habe das gefühl, das ein Thema bisher überhaupt an der ganzen Diskussion nicht angesprochen wurde,
und zwar :

Ist der Code an sich überhaupt geschützt ?

Also Rechtlich meine ich.

Und zwar egal in welcher Sprache.

Intel z.b. entwickelnt einen C Compiler der meinen Sourcecode nach C übersetzt,
so das dieser je nach einstellung auf einem Intel System am schnellsten bzw.
optimiert läuft.

Die frage ist jetzt nur, wieviele möglichkeiten gibt es, eine Funktion XY zu programmieren
so das diese im Compiler zum besten ergebniss kommt.

Je nach Funktion wird es gerade mal eine Optimale Lösung geben, und soll diese jetzt keinem
Programmierer bzw. keiner Firma mehr zur verfügung stehen, nur weil ich diese Lösung gefunden
habe und mir Patentrechtlich schützen lasse.

Mal als beispiel für das absurde dieser Diskussion :

Wenn jemmand in PHP ein "Hallo" ausgeben will, wird er/sie ein

echo "Hallo";

benutzen. Also lasse ich mir das jetzt Patentieren, und keiner kann das mehr benutzen,
ohne dafür zu bezahlen.

Achja, sollte nur ein vereinfachtes Beispiel sein, um das grundlegende "Problem"
zu erläutern. So sieht es aber in jeder Sprache aus, es gibt für ein bestimmtes Problem
nur eine 100% optimale Lösung.

mfg
MS Master

[
| Versenden | Drucken ]
  • 0
    Von Stefan am Mi, 10. September 2003 um 17:03 #
    Es geht hier nicht um die Patentproblematik, sondern um Urheberrechte. Und die hat man automatisch auf seinen eigenen Code, genauso wie auf einen selbstgeschriebenen Text oder ein selbst komponiertes Musikstück.
    In dem Text benutzt du auch die gleichen Wörter wie Millionen anderer, vielleicht sogar ab und zu die absolut gleichen Satzteile (analog dazu: While-Schleifen wirst du sicher auch in sehr vielen Programmen finden), bis zu diesem Punkt wird sich jedoch nie jemand darüber beschweren. Wenn allerdings ein ganzer Absatz eines Textes übernommen wurde, vielleicht sogar noch inklusive Schreibfehler, ist es schon etwas anderes. Und genau um so eine Begebenheit geht es laut SCO - ob nun an den Vorwürfen nun etwas dran ist ist wieder ein komplett anderes Thema.
    [
    | Versenden | Drucken ]
0
Von Hosi am Do, 11. September 2003 um 01:27 #
Was hat man denn unter "Veröffentlichung der unter Umständen unter NDA fallenden Passagen des Kernels" zu verstehen? Soweit ich mich richtig erinnere, gibt es ein NDA-Abkommen zwischen Alan Cox und irgendwelchen IDE-Hardware-Firmen oder sowas. Und unter NDA hab ich bisher verstanden, dass nur Alan Cox eingeweiht ist und seinen IDE-Code versteht, und dass andere Entwickler den Code nicht anfassen sollten.

Und nun lese ich, dass man MD5 statt diff bemüht, um (Linux-)Kernelpassagen nicht veröffentlichen zu müssen? Gibt es etwas im Kernel, dass nicht öffentlich ist?

Grüße,
Hosi

[
| Versenden | Drucken ]
  • 0
    Von Johanes am Do, 11. September 2003 um 07:44 #
    Hallo,

    ein NDA ist ein Non Disclosure Agreement - Eine Vereinbarung aufgrund derer man sich verpflichtet, Geschäftsgeheimniss, Interna oder einfach auch nur den Quellcode keinem Dritten zugänglich zu machen. Wenn du in einer Firma arbeitest hast du sowas im Prinzip auch unterschrieben.

    Und zu deiner zweiten Frage - die allerdings auch oben schon beantwortet worden ist. Der Linux Kernel selbst steht unter der GPL, d.h. der Quellcode ist per Lizenz zugänglich. Nur SCO behauptet - und ist bislang jeden Beweis schuldig geblieben - dass der Linux Kernel Teile enthält, die eben nicht unter der GPL stehen dürften. Und um dies nachzuprüfen muss man Zugang zu dem Quelltext von SCO Unix haben, der eben nicht öffentlich einsehbar ist, sondern erst wenn man ein NDA unterzeichnet hat.

    Gruß
    Johanes

    [
    | Versenden | Drucken ]
    • 0
      Von Hosi am Do, 11. September 2003 um 14:17 #
      Achso. Ich hab das wohl missverstanden. Die wollen die MD5-Summen für eine eventuelle NDA-Passage des SCO-Kernels benutzen. Ich hatte gelesen, dass das für die NDA-Passagen des Linux-Kernels gelten sollte.
      [
      | Versenden | Drucken ]
0
Von Dave am Fr, 12. September 2003 um 09:17 #
Ich bin der Meinung, dass dieses Tool nicht wirklich brauchbar ist. Wenn ich als Hersteller eines SW-Systems Code aus Open-Source-Projekten klauen moechte, aendere ich einfach in jeder dritten Zeile des geklauten Codes eine Kleinigkeit (dabei wuerde es z.B. reichen, einfach ein zusaetzliches Freizeichen einzufuegen-- dies ist mit echt wenig Aufwand verbunden und kann sogar gescripted werden) und schon sind die MD5-Checksummen so unterschiedlich, dass niemand einen Diebstahl vermuten wuerde. Ich habe in dem Fall als Hersteller sogar einen "Nachweis" darueber, dass ich nichts geklaut habe und kann mich von jeder Beschuldigung freisprechen.
Sollte sich ein derartiges Tool als Standard durchsetzen, um nachzuweisen, dass man keine Copyright-Verstoesse durchgefuehrt hat, koennte dies eher zur Folge haben, dass mehr Code geklaut wird.
[
| Versenden | Drucken ]
  • 0
    Von Basti am Fr, 12. September 2003 um 17:44 #
    MD5 macht Sinn wenn Leerzeichen, Leerzeilen und Komentare rausgelassen werden.

    Wie oben erwähnt macht das ein precompiler
    und dadurch das die Zeilen sich überlappen müsste ein Sinvolles ergebnis dabei herauskommen wenn SCO oder ein unabhängiger Dritter den Code richtig "vorbehandelt"

    Mfg
    Basti

    [
    | Versenden | Drucken ]
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung