Re: [FYI] MS: "Closed source is more secure"

[Ralph Angenendt <ralph@strg-alt-entf.org>]

On Sat, Apr 14, 2001 at 06:24:02AM +0200, PILCH Hartmut wrote:
> > Klasse finde ich natürlich, dass sie Sachen wie die BSD-Lizenz besser
> > finden als die GPL (nein, ich möchte jetzt keinen Streit vom Zaun
> > brechen). Der TCP/IP-Stack ist von BSD, Kerberos haben sie auch so
> > weit geändert (und die Änderung natürlich _schützen_ lassen),
> 
> d.h. patentiert?

Mein Fehler. Nein, nur nicht offen gelegt, also auch nicht bei der
Kerberos-Gruppe der IETF.

(cf. <http://www.heise.de/newsticker/data/odi-29.02.00-000/>)

Nach einem etwas grösseren Aufschrei hat MS dann diese Spezifikation
"offen" gelegt, als Windows .exe Datei, die vor der Installation
Zustimmung zu einer Lizenz fordert, in der u.a. steht:

"b. The Specification is confidential information and a trade secret
    of Microsoft. Therefore, you may not disclose the Specification to
    anyone else (except as specifically allowed below), and you must
    take reasonable security precautions, at least as great as the
    precautions you take to protect your own confidential information,
    to keep the Specification confidential. If you are an entity, you
    may disclose the Specification to your full-time employees on a
    need to know basis, provided that you have executed appropriate
    written agreements with your employees sufficient to enable you to
    comply with the terms of this Agreement."

Das ist natürlich eine vernünftige Offenlegung eines Protokolls, wenn
einem direkt verboten wird, irgend etwas mit dem gewonnenen Wissen zu
machen, man darf ja noch nicht einmal darüber sprechen, geschweige
denn eine Alternativimplementation vornehmen.

Bei einer Diskussion über das Thema auf slashdot wurden Links auf die
Spezifikation gesetzt, d.h. zwei bis drei Poster kümmern sich nicht
vernünftig um ihre eigenen Geheimnisse.

Antwort von Microsoft darauf war ein "Cease and Desist" (nach dem DCMA
wegen Copyrightverstössen) von Microsoft
<http://slashdot.org/articles/00/05/02/158204.shtml>.

Mittlerweile scheinen sie sich aber etwas beruhigt zu haben, eine
Erklärung des geänderten Protokolls liegt jetzt unter
<http://microsoft.com/technet/win2000/rsvpker.asp>.

Ob das genügt, um die von Microsoft verwendete Kerberosversion
nachbauen zu können, entschliesst sich allerdings meines Wissens.

Ralph
-- 
BASIC is to computer programming as QWERTY is to typing.
                -- Seymour Papert

PGP signature