Categories
Internet, Unix en security

Is CDDL genoeg of niet?

Op de NLOSUG-mailinglist is een discussie ontstaan over het voortbestaan van OpenSolaris nu Oracle eigenaar is geworden van Sun Microsystems. Het meest interessante punt is dat mensen denken dat een licentie automatisch hun investering kan beschermen, maar is dat wel zo? Geeft CDDL die garantie zoals GPL bijvoorbeeld?

3.1. Availability of Source Code.
Any Covered Software that You distribute or otherwise make available in Executable form must also be made available in Source Code form and that Source Code form must be distributed only under the terms of this License. You must include a copy of this License with every copy of the Source Code form of the Covered Software You distribute or otherwise make available. You must inform recipients of any such Covered Software in Executable form as to how they can obtain such Covered Software in Source Code form in a reasonable manner on or through a medium customarily used for software exchange.

Dit lijkt minder strikt dan de voorzieningen in GPL, maar juristen kunnen dit mogelijk beter beantwoorden. Het meest interessante wat kan gebeuren als Oracle besluit als 100% eigenaar van de code om de licentie te veranderen en OpenSolaris laat voor wat het is. Dit kan misschien weleens de belangrijkste gebeurtenis in de FOSS-wereld zijn van de afgelopen 10 jaar. Zoals ook besproken is bij DebConf 6 bijvoorbeeld.

Het laat misschien ook zien hoe open sommige bedrijven echt (kunnen) zijn en dat het altijd verstandig is om een kopie te hebben de broncode. Wat het ook laat zien hoe lastig het is om voor een groot bedrijf om te veranderen van bedrijfs- en verdienmodel waarbij je iedereen tevreden wilt houden. Zeker in een wereld die heel snel aan het veranderen is waarbij het model gaat van voornamelijk aanschafkosten naar een subscribermodel, zodat de kosten alleen daar zijn waar je ze ook verbruikt.

Categories
Internet, Unix en security

RFC 4408, vaarwel

RFC 4408, gaat over Sender Policy Framework voor wie hem niet direct herkende, is redelijk onmogelijk aan het worden. In de afgelopen jaren zijn veel records in DNS gezet als TXT resource record en later is er zelfs een eigen SPF resource record gekomen. Helaas gebruiken nog veel mensen de TXT variant, omdat mensen de records in DNS hebben gezet zonder te beseffen wat ze doen en ze ook niet te onderhouden.

Daarbij zijn er maar echt weinig partijen die ook daadwerkelijk zeggen dat hun record een -all geven om zo aan te geven dat de ontvanger de e-mail kan weigeren als het het niet matched tegen de regels in DNS. Misschien de bekendste partijen in Nederland zijn wel Postbank die door phishing aanvallen is gedwongen tot deze actie en de Belastingdienst. Buiten Nederlands blijven er alleen een paar open source communities over en het Duitse GMX, maar grotere partijen zoals Google en Microsoft blijven het alleen afdwingen voor inkomende berichten.

Sinds gisteravond 00h00 is er dus een einde gekomen aan een experiment dat sinds november 2006 liep. Er zal geen Received-SPF header meer worden toegevoegd door de mailservers. Hierdoor zullen e-mails gemiddeld 160 bytes kleiner worden en er zal per server een policy-server minder draaien. Alleen SpamAssassin blijft nog controleren wat ook zonder deze header kan en hiermee staan de SPF-checks bijna geheel op de automatisch-pilot door hun status binnen het SpamAssassin-project. Kortom, vaarwel RFC 4408 en gerelateerde RFCs.

Categories
Privacy & veiligheid

Nummerafscherming nog steeds actueel?

Bijna drie jaar na een posting blijft men regelmatig uitkomen bij een oud artikel over nummerafscherming. Veel staat er niet in, maar blijkbaar wel voldoende voor Google om hoog te eindigen en voor mensen om naar te zoeken.

Gelukkig bij onderzoek bleken meer telecomaanbieders deze optie aan te bieden waar je nummer niet te zien is op iemands anders zijn factuur. Iets wat in de tijd van digitale slordigheid zeer wenselijk kan zijn, want papieren facturen moet je of laten slingeren of men neemt ze moedwillig mee. Sinds deze maand is KPN gestart met digitale facturen en als iemand hier een kopie van maakt mis je ze eigenlijk niet.

Nu lijkt de impact hiervan niet zo groot, maar dit doet me denken aan een gesprek over het gebruik van e-mailadressen. Je krijgt geen spam of malware binnen zolang niemand in je vriendenkring besmet raakt of onzorgvuldig is. Het is dus een kwestie van tijd en misschien gebruikt men het niet direct, maar de kans van misbruik neemt redelijk toe. De proof-of-concept met het onderscheppen van SMS-verkeer en phishing naar bankgegevens eerder dit jaar bevestigde dat we misschien meer te vrezen hebben van databanken van criminelen dan van de overheid.

Ik gok dat ik nog voldoende hits ga krijgen van mensen die hun telefoonnummer willen afschermen. Persoonlijk geef ik ze geen ongelijk en geeft mij wel een idee om wat dingen te gaan uitzoeken in de komende maanden.