Разработчики криптографической библиотеки OpenSSL объявили (https://www.openssl.org/blog/blog/2017/03/20/license/) о запуске финальной стадии инициативы по смене лицензии на исходные тексты проекта. Вместо собственной лицензии OpenSSL (https://www.openssl.org/source/license.html), основанной на тексте устаревшей лицензии Apache 1.0, код предлагается распространять под типовой лицензией Apache 2.0. Всем разработчикам отправлено уведомление с просьбой утвердить предстоящее изменение.Ключевой причиной смены лицензии является несовместимость (http://www.gnu.org/licenses/license-list.html#OpenSSL) старой лицензии с GPL, что создаёт трудности при использовании OpenSSL в проектах с лицензией GPL и требует включения явных исключений (http://git.deluge-torrent.org/deluge/plain/LICENSE) в лицензионное соглашение GPL-продуктов. В частности, старая лицензия требует явного упоминания OpenSSL в рекламных материалах при использовании библиотек OpenSSL, а также добавления специального примечания в случае поставки OpenSSL в составе продукта.
Подобные требования вызывают несовместимость с GPL и усложняют жизнь GPL-проектам, использующим OpenSSL. Такие проекты вынуждены применять специфичные лицензионные соглашения, в которых основной текст GPL дополняется пунктом, в котором владельцы имущественных прав на код явно разрешают связывание приложения с библиотекой OpenSSL, указывая, что требования GPL не распространяется на связывание с OpenSSL. Без данного пункта пользователям приложения можно предъявить претензию в нарушении GPL.
Так как имущественные права на код OpenSSL не были переданы одной организации и остались в руках конечных разработчиков, для изменения лицензии потребовалось провести огромную работу по определению всех участников разработки. Спустя около полутора лет, ушедших на подготовку к перелицензированию, проект перешёл на стадию согласования изменений с каждым из разработчиков.
Чтобы избежать подобных согласований в будущем проект ввёл в практику (https://www.openssl.org/policies/cla.html) подписание лицензионного соглашения CLA (Contributor License Agreement), которое подготовлено в двух вариантах - для индивидуальных разработчиков и для компаний, работники которых занимались улучшением OpenSSL в рамках основной работы. Подписание соглашение обязательно для добавления нового кода в OpenSSL, но при приёме тривиальных патчей сделано исключение - простые патчи принимаются без CLA.
Тем временем, разработчики OpenBSD начали обсуждение (https://marc.info/?l=openbsd-tech&m=149028593819547&w=2) возможных проблем (https://marc.info/?l=openbsd-tech&m=149028757620326&w=2) с переносом кода из OpenSSL в LibreSSL, в случае смены лицензии. Многие из разработчиков LibreSSL не намерены передавать свои праваURL: https://www.openssl.org/blog/blog/2017/03/20/license/
Новость: http://www.opennet.dev/opennews/art.shtml?num=46248
> If we do not hear from you, we will assume that you have no objection.Круто, чего уж.
Как будто на выборах у нас не та же система. Не пришел, не проголосовал, значит со всем согласен.
Навальный, залогиньтесь.
Так приходи и проголосуй. Кто не пускает?
> Как будто на выборах у нас не та же система.Занятная логика, расскажите при случае знакомым западным избирателям. Вдруг чего о реальности узнаете...
Американцам уже рассказали и показали.
еще украинцам, сирийцам, кому там еще.... тьфу
А теперь расскажи как сменить лицензию ядра с GPL на EULA за 5 минут if you have no objection
> А теперь расскажи как сменить лицензию ядра с GPL на EULA за 5 минутНичего не попутали? Попробуйте проследить логику высказываний (or the lack thereof), включая своё.
Как тот самый «западный избиратель» могу отметить, что именно так и есть.
>> If we do not hear from you, we will assume that you have no objection.
> Круто, чего уж.С одной стороны, конечно, круто. А с другой - что делать, если, к примеру, автор уже умер? Или если сменил пароли и явки, и достучаться до него не реально?
Не ну тогда то конечно, тогда это не воровство а экспроприация! (слышны звуки Интрернационала ...)Надеюсь что ушлые разрабы сейчас промолчат, а потом разденут уродов в суде до трусов.
Это старая фишка, одна из причин по которой GPL не рекомендуется использовать в проектах. Вторая такая же бомба - не факт что разработчик добавил свой код, он мог добавить код компании на который у него не было доступа.
> мог добавить код компании на который у него не было доступа.Там выше про логику заметил, здесь тоже относится.
>> ...or the lack thereof...
> Не ну тогда то конечно, тогда это не воровство а экспроприация!А что, кто-то у кого-то что-то крадет?
Фанатики. Лишь бы крови и зрелищ, ей богу. А то, что с текущей лицензией либу использовать реально неудобно ни в opensource, ни в проприетари - на это, конечно, класть.
>А что, кто-то у кого-то что-то крадет?Все у всех, nothing personal, just a business ... :-\
Но по твоему когда какой то шмок вешает GPL забив болт на мнение авторов кода - это Ок?
Ну дык тогда когда крадут GPL-нутый код (как тот же Tivo) - то не стоните тут больше :-Е
> Все у всех, nothing personal, just a business ... :-\Еще раз - кто-то у кого-то что-то украл по теме новости? Чуваки хотят сменить лицензию и разослали письма по этому поводу. На что OpenBSD-шники обиделись. Причем обиделись на последний параграф о согласии по умолчанию, при этом забыв про суть проблемы, из-за которой всё и началось. Одним словом, фанатики.
> Но по твоему когда какой то шмок вешает GPL забив болт на мнение авторов кода - это Ок?
Во-первых, не GPL, а Apache 2.0. Разницу чуете или разжевать? По сути, Apache 2.0 более пермиссивна, чем текущая OpenSSL. Так в чем проблема?
Во-вторых, болт никто не забивал - письма разослали, отказаться можно.
> Во-вторых, болт никто не забивал - письма разослали, отказаться можно."Нуачо, ютубу можно, а нам нет?" -- где-то так.
> Еще раз - кто-то у кого-то что-то украл по теме новости? Чуваки
> хотят сменить лицензию и разослали письма по этому поводу. На чтоне только. Они хотя себе прав менять лицензию дальше - как им вштырит. А вот это уже нехорошо.
> OpenBSD-шники обиделись. Причем обиделись на последний параграф о согласии по
> умолчанию,не по умолчанию.
> при этом забыв про суть проблемы, из-за которой всё и началось.
им проблема двух листов бумаги показалась высосанной из пальца (как и многим другим). А вот проблема CLA - нет.
> Во-первых, не GPL, а Apache 2.0. Разницу чуете или разжевать? По сути,
> Apache 2.0 более пермиссивна, чем текущая OpenSSL. Так в чем проблема?в CLA.
"In return, the Foundation shall not use Your Contributions in a way that is contrary to the public benefit." - вот и все, что ты получаешь взамен. Причем, в этом чудо-юридическом-шедевре где побуквенно расшифровывают значение слова 'you', нифига не расшифровано что это за такой "public benefit", и какая именно публика будет в дальнейшем иметь полное право без согласования с тобой это решать (к тому же если вчитаться, права ты отдаешь не только "foundation", и остальные тебе ничего не обещают).
(не говоря уже о том что этот документ целиком чрезвычайно мутный, и я бы отказался его подписывать без своего адвоката)
GnuTLS -- наше всё.
М-да... Как обычно, больные лицензизмом головного мозга опенбээсдешники зашевелились и решили зарубить идею сделать всем удобнее на корню.Ну, ок, всё равно добра им.
Да нет, просто ребята на историях с gcc linking exception и с драйвером ath5k уже давно разобрались, с кем имеют дело, и решили, что больше никаких дел с поклонниками ein Freiheit, ein Lizenz, ein Stallman вести не стоит. Равно как и идти им навстречу. Глупо, знаете ли, идти навстречу тем, чья принципиальная позиция заключается в фразе "мы одни хорошие и свободные, а вас, рабов проклятых, тут быть вообще не должно".
> Да нет, просто ребята на историях с gcc linking exception и с
> драйвером ath5k уже давно разобрались, с кем имеют дело, и решили,
> что больше никаких дел с поклонниками ein Freiheit, ein Lizenz, ein
> Stallman вести не стоит. Равно как и идти им навстречу. Глупо,
> знаете ли, идти навстречу тем, чья принципиальная позиция заключается в фразе
> "мы одни хорошие и свободные, а вас, рабов проклятых, тут быть
> вообще не должно".Действительно глупо - идти на встречу людям, для которых права _пользователей_ их программ ничего не значат, а во главу угла ставятся права разработчиков и проприетарных корпораций.
А зачем пользователям нужно право поставщика не упоминать, что в составе продукта есть OpenSSL? Весь спор же из-за этого.
А мне бы (как пользователю) -- хотелось бы! (Чтобы у моего поставщика было бы такое право)....а иначе мой поставщик пишет плохой код (для меня), вставляя разные технические костыли
> больные лицензизмом головного мозга опенбээсдешникиПомните про GNU FDL?
> М-да... Как обычно, больные лицензизмом головного мозга опенбээсдешники зашевелились
> и решили зарубить идею сделать всем удобнее на корню.Как там было: человек может вечно смотреть на то, как горит огонь, течет вода и работают другие.
А обычный опеннетчик может вечно хаять бздшников, не-си-ЯПы и то, как бездарно по его мнению другие тратят свое время, вместо того, чтобы проконсультироваться и получить наряд лично у анонима!
Ага, вообще не понятно.> Многие из разработчиков LibreSSL не намерены передавать свои права.
Ну отлично, не передавайте, пишите свой LibreSSL, в чём у них проблема не ясно...
> Ага, вообще не понятно.
>> Многие из разработчиков LibreSSL не намерены передавать свои права.
> Ну отлично, не передавайте, пишите свой LibreSSL, в чём у них проблема
> не ясно...На данный момент между LibreSSL, BoringSSL и OpenSSL налажен какой-никакой обмен патчами. Смена лицензии OpenSSL на неприемлемую для разработчиков LibreSSL ставит на таковом обмене крест.
Ещё одну лавочку с халявным кодом прикрыли для бздшников, на которых кормятся корпорации.
Перепишут код и похоронят openssl
> Перепишут код и похоронят opensslим даже переписывать не надо - достаточно не тащить в рот всякий мусор из новой модной версии.
Учитывая, что, на удивление, многие проекты позитивно отнеслись к этой затее, и обросли спец-патчами для совместимости, это должно и дальше быть вполне реализуемой возможностью.проблема, как всегда, в другом: неспособности опенбсдшников вообще писать хороший код. Все что они делают сами, делается в лучшем индусском стиле, руками растущими из жопы и под руководством таких же жопоголовых миддлов. Какая там "security in mind", вы о чем, скорее-скорее понакодить бредовых фич и повыбрасывать якобы "ненужные" и "небезопасные" (пользоваться которыми никто, заметим, не заставлял). Ну не идут к ним ни нормальные программисты, ни хорошие архитекторы. Место, видать, проклял кто-то.
> проблема, как всегда, в другом: неспособности опенбсдшников вообще писать хороший код.
> Все что они делают сами, делается в лучшем индусском стиле, руками
> растущими из жопы и под руководством таких же жопоголовых миддлов. Какая
> там "security in mind", вы о чем, скорее-скорее понакодить бредовых фич
> и повыбрасывать якобы "ненужные" и "небезопасные" (пользоваться которыми никто, заметим,
> не заставлял). Ну не идут к ним ни нормальные программисты, ни
> хорошие архитекторы. Место, видать, проклял кто-то.Да, совместимость с VMS — это (было) очень нужно для актуальной криптолибы, а принудительное использование самописной системы выделения памяти — это (было) очень секурно.
Впрочем, это ваше дело — кого кем считать.
Вас послушать, так всё зло от них!
> Ещё одну лавочку с халявным кодом прикрыли для бздшников,Где? Какую?? О чём ты, человече?
Apache P.L. - вполне себе пермиссИв, если ты про неё.> на которых кормятся
> корпорации.
>> Ещё одну лавочку с халявным кодом прикрыли для бздшников,
>О чём ты, человече?
> Apache P.L. - вполне себе пермиссИв, если ты проАааа, про libressl openssl-ю глаз не выклюет и "кода не даст". //Зря я новость не просчитал сразу.
Так. всё ж по бээсдешному букварю: свободу перелицензирования проприертариям, на суппостатов с форками на... поло... всё равно. И более того, Они же заодно с Врагом -- с жепеэльщиками хороводят. На костёр!
Да ладно вам лукавить Андгрейка! :)
GPL без передачи прав - вещь! Смотри ведро.
GPL с передачей прав - ******! Лицензия хозяев для рабов. Нашли таки буржуи дырочку, и вот туда и дрючат :-\
Тем лучше, быстрее перейдут на libressl, я давно собираю всё с ним.
А что, упомянуть OpenSSL - это прямо такая проблема?
> А что, упомянуть OpenSSL - это прямо такая проблема?BSDL меняли, когда посчитали и посмотрели, что на упоминание всех-всех проектов уходит уже несколько метров бумаги разумным шрифтом. Собственно, ейный текст изначально был не для жизни, а под грант наспех слеплен, насколько мне удалось понять.
PS: в смысле "старую" на "новую", уж не помню сходу, где это в 4->3->2-clause.
>> А что, упомянуть OpenSSL - это прямо такая проблема?
> BSDL меняли, когда посчитали и посмотрели, что на упоминание всех-всех проектов уходит
> уже несколько метров бумаги разумным шрифтом.https://www.openssl.org/docs/faq.html#LEGAL2
Исключение нужно(~утверждается, что?) для "случай разный может быть". Лоярский способ подстилки соломки для исключения общения с лоярами.
~~~"Кое-где у нас порой случаются отдельные...."]-["А мы не взирая!"
___"Поэтому лучше договориться и заплатить."
>> А что, упомянуть OpenSSL - это прямо такая проблема?
> BSDL меняли, когда посчитали и посмотрели, что на упоминание всех-всех проектов уходит
> уже несколько метров бумаги разумным шрифтом. Собственно, ейный текст изначально
> был не для жизни, а под грант наспех слеплен, насколько мне
> удалось понять.
> PS: в смысле "старую" на "новую", уж не помню сходу, где это
> в 4->3->2-clause.4 -> 3
>> PS: в смысле "старую" на "новую", уж не помню сходу, где это
>> в 4->3->2-clause.
> 4 -> 3Спасибо.
> А что, упомянуть OpenSSL - это прямо такая проблема?это повод. Проблема - что нельзя было потом в один момент сменить лицензию на какую-нибудь пакостную, не опросив снова всех разработчиков. А вот теперь - можно. А кто несогласный, идет нах, пилить свою ssl c нуля.
забавно, что из 400 человек все послушно скушали дерьмеца с лопаты.
Упомянуть не проблема, проблема в том, что требование такого упоминания есть ограничение, явно запрещённое GPL. Как следствие, линковать GPLный код с openssl нельзя.
> явно запрещённое GPL.Не "явно", а "может быть интерпретировано некоторыми несознательными под-GPL авторами"...
Что превращается либо в "фигня-а-а-а, не наша проблема" в FAQ-е openssl либо в "нельзя, исключение неоходимо" на стороне Debian-а. Лоярская магия.
> Как следствие, линковать GPLный код с openssl нельзя.
Они говорят, что можно, но они ни за что не отвечают. https://www.openssl.org/docs/faq.html#LEGAL2 Мол, мы накосячили, но честно предупредили и "в домике" -- а вы крутитесь, как хотите.
Debian, например, как "третья сторона" в разборках апстримов не имеет такой свободы валить на пользователей, как openssl [до сего времени++], и должен (или опять же считает нужным для себя) требовать исключений линковки от всех таких GPL-пакетов -- исключить _возможные_ проблемы для себя и своих пользователей. То же самое, видимо, делают все дистрибутивы. При этом они, дистрибутивы, вынуждены (или выбрали?) быть жёсче безобраздников из openssl -- и _не могут_ рассчитывать на их волшебное "если оно в дистрибутиве / базовой системе, то можно". Может, они какую-то другую GPL читали, может, им есть [больше], что терять, мы не знаем.
То, что у них своя нестандартная лицензия просто добавляет мороки разработчикам приложений.
SSL/TLS библиотек становится всё больше, значит, всё больше народа переходит и выбирает не OpenSSL. Наконец-то они там одумались и привели лицензию в соответствие хотя бы GPL! Хотя необходимость в использовании именно этой библиотеки уже не та, что раньше, всё равно надеюсь, что у них получится завершить этот процесс.
> SSL/TLS библиотек становится всё большекорявых урезанных форков opensslя становится больше. Все больше народа мечется по новосозданным граблям, натыкаясь на несовместимости, прикрытые неправильными версионными макросами.
А народа выбирающего не openssl не существует, это ж надо самому код писать.
(gnutls опустим, там очень ограниченная функциональность, мало где применимая)
При этом если криптопримитивы написать самому хоть и противно, но можно, если владеть темой (знания алгоритмов недостаточно, вляпаешься в утечки по side-channel), то вот сам ssl... это совершенно отвратительная, мегонавороченная хрень, [мой внутренний конспиролог полагает]сознательно придуманная так, чтобы было невозможно сделать работающий и совместимый код заведомо без дыр и глюков [но разум подсказывает, что все разработки "комитетов" таковы по совсем другим причинам]собственно, типичный пример, где openssl не нужен полностью и совсем - ssh. Он не ssl, ни разу, у него совершенно свой протокол, и от библиотеки используется только ее криптографическая часть, довольно low level. Можно этого не делать? Можно, попытки были (начиная, собственно, с ssh 1, когда его писали, никакого openssl'я просто не было)
Ну и что у нас всех стоит? Правильно, ssl-based openssh :-(
> корявых урезанных форков opensslяЯ пока не натыкался на жалобы.
> А народа выбирающего не openssl не существует, это ж надо самому код писать. (gnutls опустим, там очень ограниченная функциональность, мало где применимая)
ring.cx
> то вот сам ssl... это совершенно отвратительная, мегонавороченная хрень,..
Так SSL{..,v2,v3} и не надо. Надо TLSv1.2.
> Можно, попытки были
А когда была последняя?
>> корявых урезанных форков opensslя
> Я пока не натыкался на жалобы.ну мало ли на что ты не натыкался. Я вот их писал, и баг...нет, не исправил, обошел - ссылки были в том числе на опеннете, но тыж "не натыкался", и сейчас не вижу смысла на тебя время тратить.
> ring.cx
ну да, полтора пользователя
>> то вот сам ssl... это совершенно отвратительная, мегонавороченная хрень,..
> Так SSL{..,v2,v3} и не надо. Надо TLSv1.2.так это та же самая хрень, в кубе. хэндшейк - совсем не главное. Ты как-нибудь на досуге почитай описание хотя бы того же ASN-1, поймешь о чем я (впрочем, судя по первой цитате - не поймешь, но я в общем не для тебя это пишу)
Ну и насчет "не надо" - это пока ты груши околачиваешь. А как не откроется система управления меганавороченным промышленным упсом на пол-мегаватта - потому что там вообще ssl2 - так сразу же поймешь, почему героическое "удаление лишнего кода", которым занимаются форкеры - сплошной вред.> А когда была последняя?
"если б я знал что она последняя"
коммерческий ssh, насколько я знаю, по сей день не использует. Но это тоже полтора пользователя.
> Я вот их писалЯсно:
> ну да, полтора пользователяА тут
> и сейчас не вижу смыслане очень конструктивно.
> потому что там вообще ssl2
Ну тут вообще всё равно какой библиотекой пользоваться, когда протокол уже дырявый от старости.
>> и сейчас не вижу смысла
> не очень конструктивно.ищущий - обрящет, "не натыкавшийся" по прежнему ничего не найдет.
Ну ок, возьми, к примеру, encfs из HEAD, и какую-нибудь еще не кастрированную libressl - 2.2.2, к примеру. Там проблема выеденного яйца не стоит, если не вдуматься в ее суть - то есть чем вообще думал человек, ее создавший. А вот если об этом немножко подумать...
>> потому что там вообще ssl2
> Ну тут вообще всё равно какой библиотекой пользоваться, когда протокол уже дырявый от
> старости.не все равно, когда библиотека (библиотека, Карл! Вместо того, что имеет интерфейс в сторону пользователя, и способно хотя бы вменяемо до него донести причину) заявляет что из нее для большей лучшести это все повырезали, работать мы не будем.
Причем стоит эта штука миллионы, весит несколько тонн, жить может в общем-то вечно (аккумуляторы стандартны, а больше там расходников нет), в голый интернет такие вещи только полные идиоты высовывают, что с ssl'ем, что без, от дюже любопытного и тупого индуса рядом в локалке и ssl2 вполне защитит. Ну и вот спрашивается - нахрена же?
> Ну и что у нас всех стоит? Правильно, ssl-based openssh :-("...использовать openssh с выключенным libcrypto -- только с Бернштейновскими алгоритмами" (прозвучало в почте)
> "...использовать openssh с выключенным libcrypto -- только с Бернштейновскими
> алгоритмами" (прозвучало в почте)видишь ли, я не могу оценить Бернштейна как криптолога и математика - образования не хватает. Тем более я не могу проверить его алгоритмы.
Но вот Бернштейна-программиста я оценил в 1999м году - "сейчас я покажу лохам как правильно писать mta", и нате вам - open relay в каждой дефолтной конфигурации чудо-мейлера.
"сейчас я покажу лохам как правильно писать dns" - нате вам нечто принципиально несовместимое с bind и без zone xfers - то есть админ локалхоста может и смог бы пользоваться, но и то с трудом.
Что там еще было - а, ну да, ftp сервер. Этим я даже пользовался, попатчив то место, из-за которого он напрочь ломал работу в браузерах.
supervise - да, это был некоторый прорыв, то что сейчас героически осилил systemd, но... снова 100% несовместимый с принятыми подходами, включая иерархию файловых систем, ибо принципиально гадит только под себя.Поэтому надо либо терять годы на анализ, либо расслабиться - алгоритмы-то наверное и хороши, а вот что там вокруг них - дело крайне темное. Когда и если вдруг выяснится, что некоторое стечение обстоятельств превращает их в банальный xor - автор в очередной раз ответит как в вышеприведенных случаях (и еще одном неупомянутом, и самом серьезном - с chkpass) - я не я, кобыла не моя. Она и правда не его, но пострадавшим не легче.
> Но вот Бернштейна-программиста я оценил в 1999м годуПонял, спасибо.
XFree86 история повторяется.
> XFree86 история повторяется.чтобы ее повторить, нужно чтобы где-то в тенечке пряталась IBM, Oracle, DOD(DOD, Карл!) и другие интересные ребята, которым при этом принадлежит копирайт процентов так на 60 незаменимого кода (и неспособность/нежелание которых платить нормальным кодерам привели к появлению проекта XFree86), хотя там ни строчки их времен не осталось.
"open group" эти ребята назывались, если ты не в курсе. Такое вот опен.