Schock! Explosion der Lizenzgebühren

[tlightuser]

Nach mehrmaligen durchlesen und heftigem Kopfschütteln kommt man unweigerlich genau zu deinem Ergebnis:

Ja nee, is klar. Wir wollen kein Geld ausgeben und deswegen Open Source Software nutzen, gleichzeitig aber so tun, als hätten wir selbst das ganz tolle Programm entwickelt und deswegen alle Copyright-Hinweise entfernen. Sorry, aber da hört mein Verständnis auf. Wenn ich so etwas lese dann denke ich spontan darüber nach, den Preis für die kommerzielle Lizenz auf 1000.- Euro anzuheben.

Es gab schon einmal eine ähnliche Diskussion darüber, den Core aufzublasen. Da gab es auch zum teil unglaubliche Forderungen, mann solle doch bitte soviel wie möglich an Erweiterungen in den Core integrieren, nur weil einige zu faul waren einen Install-Butten zu drücken.

Also manchmal .

Ich habe damals auch die kommerzielle Lizenz gekauft, aber nicht etwa mit der Absicht das Copyright zu entfernen, sondern das Projekt zu unterstützen.

[Trendy]

@tlightuser

Ich habe aus diesem Grund auch die Lizenz für mich gekauft. Ich brauche sie jedoch nicht wirklich. Meine persönlichen Projekte laufen ganz normal mit allen Hinweisen.

Möglicherweise hast Du jedoch das Thema "Kundenargumente" überlesen. Hier handelt es sich nicht um hunderte Kunden, sondern einzelne Firmen.

Wenn ich so schnodderig, wie hier argumentiert wurde, gegenüber einem Kunden auftreten würde, hätte ich ihn die längste Zeit gehabt.

Entweder, es gibt ein Lizenzmodel mit einem Preis, oder es wird so gehandhabt, wie einige andere OS Projekte auch, nämlich keine Lizenz.

Wird offiziell eine Lizenzgebühr erhoben, kann man ja nicht im Forum dann argumentieren "Eigentlich nervt mich das, ich will ja keine Lizenz herausgeben..."

Das dieses Projekt von engagierten Programmieren inklusive Leo getragen und zukunftsfähig entwickelt wird, und das auch noch kostenlos, das honorieren all diejenigen, die Contao mit steigender Leidenschaft bei sich und Kundenprojekten einsetzten. Doch auch darum geht es nicht.

Erst hier im Forum wird doch deutlich, das eine Lizenz eher nicht gewünscht wird von allen, die dieses Projekt tragen und fördern. Ein wenig unfair gegenüber denjenigen, die auf die kommerzielle Seite gehen und im Onlineshop ohne böse Hintergedanken eine Lizenz erwerben.

Die latente Unterstellung, man möchte Contao als eigenes Projekt ausgeben, greift nicht wirklich. Es gibt eine Vielzahl an potentiellen Gründen, die mit dieser einfachsten Unterstellung nichts gemein haben.

Als Beispiel hatte ich Derivate aufgeführt. Die Basis ist ein OS Projekt, die eigene Weiterentwicklung in eine bestimmte Funktionalität kann jedoch auch so umfangreich sein, das dies durchaus auch ein eigenes Projekt sein kann. Dies wiederum kommt Contao zugute, weil hier in den meisten aller Fälle auch immer drauf hingewiesen wird, das es sich um eine bestimmte Basis handelt, so kenne ich es zumindest. Diese Entwickler wollen mit Sicherheit sich nicht mit fremden Federn schmücken.

Aus solchen Situationen entstehen Gemeinschaftsprojekte, die eine ungeheure Dynamik für ein OS entwickeln können.

Aus kommerziellen Projekten entstehen dann nicht nur Projektfunktionen, sondern auch Module/Erweiterungen, die so vermutlich aus Kostengründen nie frei entwickelt worden wären, so aber als freie OS Module zur Verfügung gestellt werden. Durch Kundenprojekte finanziert, der Community hinterher zur Verfügung gestellt.

Wir beschäftigen uns zum Beispiel seit einiger Zeit mit Contao und lernen dieses System immer besser kennen. Viele Aufgabenstellungen stellen noch eine wirkliche Herausforderung dar.

Unser Ziel ist es auch, eigene Module zu entwickeln. Aus Zeit- und Kostengründen müssen wir jedoch über Kundenprojekte diese Entwicklung auch finanzieren. Natürlich sind auch wir dann bereit, diese Sachen auch wieder der Community frei zur Verfügung zu stellen. Ein Geben und nehmen gleichermaßen!

Also, es ist nicht immer alles gleich ausschließlich schwarz oder weiß.

Wenn jedoch etwas kommerziell angeboten wird, sollte hier auch eine vernünftige und akzeptierte Rahmenbedingung angeboten werden, die keinen Nachgeschmack hat. Solche Vorschläge, eine Lizenz dann mal eben von 199 auf eben mal 1000 Euro anzuheben, ist wohl eher ein kontraproduktiver Vorschlag. Eine solche Emotionalität hat wohl nichts mit einem professionellen System zu tun. Natürlich können 1000 Euro verlangt werden, das steht Leo selbstverständlich frei zu entscheiden. Und klar ist auch, das, wenn man es aus der Sicht der Qualität betrachtet, auch unter Umständen mehr wert sein könnte. Die Frage ist nur, ob so etwas angenommen wird. Verfallen wir nun in eine solche Ebene dieser Diskussion, dann muß man jedoch gleichzeitig auch den Vergleich zu Konkurrenzprodukten mit allen Serviceleistungen in Betracht ziehen. Was macht das denn dann für einen Sinn??

Jeder Modulentwickler, der sich hier darüber aufregt, kann ja auch sein Modul kommerziell anbieten, die Frage ist dann, ob die Leute auch bereit sind dann zu zahlen, das wird sich wohl dann in der Praxis zeigen.

Umfangreiche Entwicklungen müssen sich halt überwiegend aus kommerziellen Projekten erst entwickeln, um sie dann in abgewandelter Form frei zur Verfügung zu stellen.

Aus den oben benannten Gründen sollten doch einige, die sich hier geäußert haben, ihren Standpunkt noch einmal überdenken. Ein Kunde muß nicht immer gleich der Feind sein!

[Nina]

Du vermischt hier jetzt aber ein paar sehr unterschiedliche Dinge. Niemand sagt beispielsweise etwas dagegen, dass Module kommerziell für Kunden entwickelt werden. Ich weiß, dass bei den Partnern für ihre Kunden teilweise schon extrem umfangreiche kommerzielle Entwicklungen stattgefunden haben.

Das hat aber überhaupt nichts damit zu tun, dass man aus dem Quelltext die Hinweise auf den Urheber entfernt.

Ich denke, dass Leo mittlerweile klar geäußert hat, wie er die Lage sieht:

• Es gibt eine kommerzielle Lizenz, weil hin und wieder danach gefragt wurde.
• Die kommerzielle Lizenz erlaubt die Entfernung von Leos Autorenhinweis. Diese Entfernung erfolgt allerdings nicht automatisch, sondern muss vom Käufer selbst im Code vorgenommen werden.
• Bisher konnte hier kein Argument pro Lizenzentfernung vorgebracht werden, das als wirklich sinnvoll erachtet wurde. Entsprechend steht man dem Grundgedanken hinter der Lizenzentfernung nicht sonderlich positiv gegenüber. Allerdings wird man natürlich auch das Geld nicht ablehnen, wenn sich jemand sowas kaufen will. Wer die Lizenz trotzdem haben will um die Hinweise zu entfernen, muss halt damit leben, dass die meisten Leute hier das eher als "eigenartig" ansehen. Ist aber auch kein Weltuntergang imho - den meisten der betroffenen Firmen wird das vermutlich egal sein. *

* Diese Sicht kommt aus den Privatmeinungen der Leute, die sich hier geäußert haben. Daran wird es auch nichts ändern, wenn du noch 10 mal schreibst, dass du das anders siehst. Ändern könntest du das nur durch neue, stichhaltige Gründe pro Lizenzentfernung.

[Nina]

Ich habe nochmal grob die Argumente zusammengefasst, soweit ich sie hier bisher gefunden habe.

Bisher genannte Gründe pro Hinweisentfernung mit kommerz. Lizenz:

• Kunde will, dass die Software nach außen nicht als OS erkennbar ist (wegen Image/Außenwirkung).
• Kunde vertraut OS nicht, soll daher nicht sehen dass es OS ist.

Bisher genannte Gründe kontra Hinweisentfernung mit kommerz. Lizenz:

• Der Hinweis ist nur im Quelltext/Programmiercode sichtbar, hat also keine Auswirkungen auf normale Besucher.
• Verschleierung nach dem Schema "Das ist kein Open Source, sondern unser Eigenprodukt" hat den negativen Beigeschmack dass sich jemand mit fremden Federn schmücken will.
• Wenn der Kunde negativ auf Open Source reagiert, ist es eine bewusste Täuschung, wenn man ihm vorgaukelt, man würde kein OS einsetzen, es aber doch tut.
• Man sollte solche Kunden ausgiebig zu Open Source beraten, anstatt sie zu hintergehen. Entweder sie akzeptieren diese Gründe dann, oder eben nicht. Falls nicht, soll man ihnen OS nicht trotzdem unterjubeln.

Meine persönliche Sicht dazu ist klar:

Ich würde diese Lizenz meinen Kunden auf keinen Fall anbieten, da ich keinen sinnvollen Grund finde, der dafür sprechen würde. Sie haben davon einfach keinen reellen Mehrwert.

Und nochmal um es klar zu stellen, das hat nichts mit kommerziellen Extensions oder anderen bezahlten Dienstleistungen rund um Contao zu tun. Diese bringen nämlich dem Kunden einen reellen Mehrwert und haben oft auch noch positive Wirkung für Contao (wenn z. B. eine Individualentwicklung für den Kunden später auch offen bereitgestellt wird).

Was das Lizenzangebot an sich angeht, habe ich dazu keine eindeutige Meinung. Wenn man sie nicht anbietet, wäre es sicher die sauberste Variante, aber sie bringt dem Projekt zumindest Geld. Da kann ich Leos Zwispältigkeit gut nachvollziehen und wüsste auch keine schwarz/weiß-Lösung

[Trendy]

Na ja, wofür ich plädiert habe, ist eine vernünftige gewerbliche Lösung, womit alle Nutzer, egal welche, leben können. Das eine solche Lizenz hier nicht gewünscht wird, aber trotzdem angeboten wird, resultiert ja dann auch aus einer entsprechenden Nachfrage.

Natürlich kenne ich nicht alle Anliegen, auf die man auf Leo zugegangen ist. Mit Sicherheit waren auch einige dabei, die nicht besonders seriös waren. Daher verstehe ich auch viele Reaktionen.

Nicht alle Kunden, die eine solche Lizenz erwerben, gehen vorher hier ins Forum, um sich über die Stimmung in Sachen Lizenz zu erkundigen. Sie sehen auf irobots, es gibt da was, lesen kurz nach, welche Inhalte dort angeboten werden und bestellen.

Dann gehen diese Kunden wohl zwangsläufig davon aus, das auch alles soweit ok ist.

Wenn jemand gerne das Projekt finanziell unterstützen möchte, ist in diesem Fall die Lizenz nur für Eingeweihte als Mittel erklärt, ein normaler Webmaster einer Firma sieht in einem Lizenzmodell dann schon etwas anderes.

Differenzen zwischen 199 und 499 sind ja nicht ganz unerheblich, so das durch einen gewerblichen Vertrieb doch andere Rahmenbedingungen bestehen. Egal, wie viel Wert auch immer von Einzelnen definiert wird. Ein Kunde, also ein Webdesigner, ist sich keiner Schuld bewußt, wenn er eine Lizenz kauft. Ich, als Kunde war mir auch nicht bewußt, das hier so reagiert wird.

Bisher genannte Gründe kontra Hinweisentfernung mit kommerz. Lizenz:

* Der Hinweis ist nur im Quelltext/Programmiercode sichtbar, hat also keine Auswirkungen auf normale Besucher.
* Verschleierung nach dem Schema "Das ist kein Open Source, sondern unser Eigenprodukt" hat den negativen Beigeschmack dass sich jemand mit fremden Federn schmücken will.
* Wenn der Kunde negativ auf Open Source reagiert, ist es eine bewusste Täuschung, wenn man ihm vorgaukelt, man würde kein OS einsetzen, es aber doch tut.
* Man sollte solche Kunden ausgiebig zu Open Source beraten, anstatt sie zu hintergehen. Entweder sie akzeptieren diese Gründe dann, oder eben nicht. Falls nicht, soll man ihnen OS nicht trotzdem unterjubeln.

Teile dieser Argumentation mögen in Einzelfällen so sein, dürfen jedoch nicht als Totschlagargument aufgeführt werden.

[psren]

Na ja, wofür ich plädiert habe, ist eine vernünftige gewerbliche Lösung, womit alle Nutzer, egal welche, leben können. Das eine solche Lizenz hier nicht gewünscht wird, aber trotzdem angeboten wird, resultiert ja dann auch aus einer entsprechenden Nachfrage.

Und diese von dir angesprochene Lizenz beinhaltet eben nur das entfernen des Copyrights.

Was verstündest du denn unter einer vernünftigen gewerblichen Lösung?
Und für was brauche ich eine gewerbliche Lösung wenn ich den gesamten Leistungsumfang unter LGPL umsonst bekomme?

//edit: außerdem steht doch in der Produktbeschreibung genau, was man da kauft, somit sehe ich da kein Problem?!

[datenkind]

Also mittlerweile denke ich ja, dass die kommerzielle Lizenz einfach abgeschafft werden sollte. Für jegliche Anfragen diesbezüglich könnte eine kleine Textbaustein-Mail entworfen werden, die ein klares „Nein, is nich“ darlegen. Fertig.

Entweder wird es begriffen und akzeptiert, dass das System OS ist, oder nicht. Wer bei solchen Punkten rumeiert – und mit Verlaub, ich wage zu bezweifeln, das potentiell geldgeberische Kunden, die kein OS wollen, überhaupt Contao in Betracht ziehen – sucht doch von Anfang an die Konfrontation mit dem Entwickler.

Entweder ich vertraue darauf, dass mir gute Software angeboten wird, oder ich lass direkt selber welche entwickeln. Wie will man es denn sonst lösen? Ist doch sonst alles die gleiche Scheindebatte wie mit den Netzsperren-Stoppschildern …

[FloB]

Als Beispiel hatte ich Derivate aufgeführt. Die Basis ist ein OS Projekt, die eigene Weiterentwicklung in eine bestimmte Funktionalität kann jedoch auch so umfangreich sein, das dies durchaus auch ein eigenes Projekt sein kann. Dies wiederum kommt Contao zugute, weil hier in den meisten aller Fälle auch immer drauf hingewiesen wird, das es sich um eine bestimmte Basis handelt, so kenne ich es zumindest. Diese Entwickler wollen mit Sicherheit sich nicht mit fremden Federn schmücken.

Auch Derivate darf man ohne Sonderlizenz entwickeln. Es muss nur weiterhin der Urheber der einzelnen Code-Teile genannt werden, die nicht von einem selber stammen. In der LGPL muss AFAIK noch nichtmal die Neuentwicklung dem Erstentwickler zur Verfügung gestellt werden (mit der GPL aber schon).

[Trendy]

Also mittlerweile denke ich ja, dass die kommerzielle Lizenz einfach abgeschafft werden sollte. Für jegliche Anfragen diesbezüglich könnte eine kleine Textbaustein-Mail entworfen werden, die ein klares „Nein, is nich“ darlegen. Fertig.

jep, eine Lösung!

Was verstündest du denn unter einer vernünftigen gewerblichen Lösung?
Und für was brauche ich eine gewerbliche Lösung wenn ich den gesamten Leistungsumfang unter LGPL umsonst bekomme?

Biete ich als Hersteller eine Möglichkeit dieser Art an, wo Geld verlangt wird, greifen automatisch rechtliche sowie geschäftsübliche Rahmenbedingungen. Das bedeutet übersetzt, das ein Preis, der solche Sprünge macht, von Firmen die das lesen nicht nachvollziehbar ist. Gestern noch 199, heute 399!! Welcher Eindruck entsteht? Muß nicht wirklich sein, oder? Dann lieber komplett abschaffen, die Lizenzgebühren zurück buchen und Copyright wieder rein, fertig!

Nicht jeder Kunde ist gleich, und gleich informiert, will sagen, hier gibt es Unterschiede, die jedoch eine Agentur heute auch nicht vollständig ignorieren kann, oder?

Leider ist das nun wirklich ausgeartet, und nicht wirklich ein Grund, hier weiter einzusteigen.

Daher, um alle Mißverständnisse zu begegnen, die auch noch kommen werden, in dieser Frage, soweit kenne ich auch Kollegen, gibt es nach meiner Ansicht nur 2 Wege. Abschaffen oder ein vernünftiger Preis mit bleibenden Bedingungen. So oder so.

Ich habe aktuell ein Projekt mit Lizenz. Weitere ohne.

Hier mal ein aktuelles Zitat einer Konkurrenzfirma in einem anderen Forum mit anderem Thema, ich zitiere:

Kennst mich ja, ich guck als Erstes in den Quelltext der Seite. Wenn ich dann sehe, das ein "Milliardenkonzern" seine Seite mit kostenloser Open-Source-Software gebastelt hat, dann stutze ich schon mal.

Und nun?

Tja, als Anhänger der OS insgesamt werde ich natürlich dagegenhalten, wird jedoch wieder, wie immer, in Endlosdiskussionen ausarten! Heute werde ich mal nicht mehr antworten.

Keine Angst, ich habe genug Argumente auf Lager, ist aber ziemlich nervig!

[xtra]

Biete ich als Hersteller eine Möglichkeit dieser Art an, wo Geld verlangt wird, greifen automatisch rechtliche sowie geschäftsübliche Rahmenbedingungen.

Lediglich was die Produkthaftung und Garantie betrifft. Daher lasse ich diesen Teil nun einmal unkommentiert, es wyrde zu sehr ins juristische abdriften und ich kann und will keine Rechtsberatung geben (das yberlass ich den Anwaelten).

Das bedeutet übersetzt, das ein Preis, der solche Sprünge macht, von Firmen die das lesen nicht nachvollziehbar ist. Gestern noch 199, heute 399!! Welcher Eindruck entsteht? Muß nicht wirklich sein, oder? Dann lieber komplett abschaffen, die Lizenzgebühren zurück buchen und Copyright wieder rein, fertig!

Es entsteht der Eindruck der beabsichtigt ist. Wer unbedingt das Recht haben will die Copyright Vermerke zu entfernen, kann sich dieses fyr diese Lizenzgebyhr kaufen. Nicht mehr und nicht weniger.
Davon unbetroffen sind, wie ich bereits erwaehnt habe, saemtliche Extensions. Um auch in denselbigen den Vermerk zu entfernen bedarf es des Einverstaendnisses saemtlicher Entwickler derselbigen.
Yber die Hoehe gehen die Meinungen auseinander. Ein Produkt das in Version X einen Preis von 100€ hat muss IMO nicht zwangsweise 10 Versionen spaeter dasselbe kosten. Im Gegenteil, es kann soviel kosten wie der Hersteller entscheidet. Angebot bedeutet hierbei die Nachfrage, nicht umgekehrt. Denn eine grosse Nachfrage wird nicht angestrebt.
Ebenso muss jedoch nicht das Geld zuryckgebucht werden. Der Kauf dieser Lizenz ist ein bindendes Rechtsgeschaeft. Das kannst du nicht einfach ryckabwickeln und sagen "macht die Vermerke wieder rein". Bei neuen Versionen kann man jedoch gerne die kommerzielle Lizenz abschaffen. Bei 3.0 waere ich definitiv dafyr.

Nicht jeder Kunde ist gleich, und gleich informiert, will sagen, hier gibt es Unterschiede, die jedoch eine Agentur heute auch nicht vollständig ignorieren kann, oder?

Exakt, hier gibt es Handlungsbedarf seitens der Agenturen. Informieren anstatt eine Mogelpackung verkaufen. Denn um nichts anderes handelt es sich, wenn man seinem Kunden eine kommerzielle Lizenz aufschwatzt. Es ist das gleiche Produkt (sofern man wirklich nur die Copyrighthinweise entfernt und nicht noch weiter am code rumfummelt). Nur wird der Autor verschleiert.

Daher, um alle Mißverständnisse zu begegnen, die auch noch kommen werden, in dieser Frage, soweit kenne ich auch Kollegen, gibt es nach meiner Ansicht nur 2 Wege. Abschaffen oder ein vernünftiger Preis mit bleibenden Bedingungen. So oder so.

Siehe Argumentation meinigerseits in vorherigen posts: Abschaffen oder unattraktiv machen (vernynftiger Preis fyr mich: so hoch, dass ihn kaum einer haben will).

Hier mal ein aktuelles Zitat einer Konkurrenzfirma in einem anderen Forum mit anderem Thema, ich zitiere: [...]

Und nun?

Und nun wundere ich mich yber die Leute die sowas in ein Forum schreiben.
Einige Punkte die ich dieser Person gerne entgegnen wyrde.
1. "Kennst du die kleinen Unternehmen google und yahoo? Diese Unternehmen entwickeln diese kostenlose Open Source Software sogar bzw. sponsoren dieselbige mit Millionen und Milliarden".
2. "Wenn die Entfernung des Copyright vermerks ausreicht um vor dir zu verschleiern mit welchem CMS eine Webseite gemacht wurde, dann hast du nicht ausreichend aufgepasst".
3. "Warum sollte ein grosses Unternehmen eine sehr gute Software nicht verwenden die es kostenlos bekommt und nach den eigenen Wynschen beliebig anpassen und erweitern kann."

Tja, als Anhänger der OS insgesamt werde ich natürlich dagegenhalten, wird jedoch wieder, wie immer, in Endlosdiskussionen ausarten! Heute werde ich mal nicht mehr antworten.
Keine Angst, ich habe genug Argumente auf Lager, ist aber ziemlich nervig!

Kenn ich, hab selbst (meiner Meinung nach) genug Argumente, bin nahezu nie myde sie zu wiederholen, bringt nur meist nicht viel.

Grysse
Chris

[Trendy]

Hallo Chris

wollen wir mal so sehen, OS hat in den letzten Jahren doch schon vernünftig an Boden gewonnen, da gab es schon ganz andere Zeiten.

Ich kann mich noch gut an die Kampagnen von Microsoft erinnern, die Linux verteufelt haben und wahre Ängste unter Anwendern geschürt haben, zumindest es versucht haben.

Die Hauptargumentation diverser kommerzieller Firmen liegt schwerpunktmäßig im Bereich Sicherheit. Hier wird argumentiert, das ja der Quellcode jedem zugänglich ist und somit nicht sicher sein kann.

Das allerdings eine kleine Firma, auch wenn sie ein Team als Programmierer haben, nicht die gleiche Arbeit leisten kann wie eine Community, die viele Funktionen gleichzeitig einsatzfähig macht, wird in diesem Zusammenhang verschwiegen.

Natürlich bringen solche Endlosdiskussionen in anderen Foren wenig, was die Person betrifft, jedoch muß man trotzdem dagegenhalten, weil solche Tendenzen immer wieder, auch von potentiellen Kunden, zu lesen sind.

Aber, es sehr mühselig...

[corticelli]

Ein Pro-Argument gibt es indes schon noch:

In vielen Rechenzentren ist ein solcher Hinweis im Quelltext ein Killerkriterium gegen den Einsatz der Software. Hintergrund ist ein immerhin theoretisch konstruierbarer Sicherheitsaspekt: wenn ich weiß, welche Software die Seiten ausliefert, kann ich meine Hacker-Anstrengungen auf die potenziellen Sicherheitslücken dieser einen Software konzentrieren und muss nicht mehr mit der Schrotflinte schießen.

Wie gesagt, das ist ein theoretisches Szenario und ist auf sachlicher Ebene vielleicht auch angreifbar - in der Praxis aber führt es durchaus dazu, das Contao schon der Vorauswahl ausscheidet. Denn nur mal so: es handelt sich um Umfelder, in denen noch vor zwei Jahren alleine das Stichwort PHP genügt hat, um einen Sicherheitsbeauftragten an den Rand eines Herzinfarktes zu bringen.

[corticelli]

Nur zur Klarstellung: eine solche Lizenz darf ruhig kosten! Der Vorteil dieser Unternehmen ist, dass Lösungen unter 1.000 Euro - nach dem Motto: "was nix kostet taugt auch nix" - gar nicht ernst genommen werden würden

Hohe Sprünge von ca. 100 % würden aber auch hier eher auf Unverständnis stossen ...

[Trendy]

bin aktuell im Battle mit dem Typ,

könnt ihr mir hier auflisten welche prominente Seiten mit OS gemacht wurden?

ich kenne MTV, weißes Haus, aber mir fallen aktuell keine weiteren ein, peinlich..

[Trendy]

schon welche gefunden, alles klar,

wenn das mal nicht überzeugend ist, die Liste speicher ich mir mal:

* Mercy Corps
* Jamaikanische Premierminister
* Nvidia
* OpenSource.com
* Procter & Gamble
* Data.gov.uk
* Intel
* VT4
* Ashley Tisdale
* Queen Rania (Königin des Jordan)
* Grammys
* Emmys
* Albert II, König von Belgien
* Fujifilm
* Monty Python
* Forbes Russia
* BBC
* Linux Journal
* Eric Clapton
* AT&T
* Directgov (Initiative der Britischen Regierung)
* Industry Standard
* Das Weiße Haus (whitehouse.gov)
* Eén
* Lucas Arts
* Robbie Williams
* Portland State University
* Strayer
* Duke University
* Stanford University (Stanford Humanities Center)
* Reuters
* CNN (CNNgo)
* Rutgers
* Rackspace
* Mattel
* Java.net
* Internet Systems Consortium
* NowPublic
* DivX
* Premierminister von Australien
* Australian Broadcasting Corporation
* Battlefield 1943
* usaspending.gov
* Radio Netherlands Worldwide
* MIT Media Lab
* IFRA
* Holländische Regierung (State Service for Cultural Heritage)
* Französische Regierung (gouvernment.fr)
* Sony Ericsson Labs
* Jacksonville
* Zappos
* Harvard Law School (Berkman Center for Internet and Society)
* Antwerpen Studentenstad
* New York State Senate
* Gamezebo
* Randstad
* The Linux Foundation
* InfoWorld
* Francesca Battistelli
* Michael Jackson
* Brico Depot
* Ketnet
* Barack Obama (recovery.gov)
* Mother Jones
* Slate.fr
* Google Measurement Lab
* World Food Programme
* Virgin
* AHOLD
* Nokia Research Center
* Human Rights Watch
* Symantec Juice
* Oxfam
* Französische Minister für Gesundheit, Jugend und Sport
* ASI
* MIT CSAIL
* Pearl Jam
* P-Magazine
* Boekenbeurs
* Sanyo
* Spotlight Verlag
* NHL
* Consumer Search
* Disney (ABC Family Community)
* Belgische Regierung (belgium.be)
* Beyonce
* British Council
* Mozilla Thunderbird (spreadthunderbird.com)
* SourceForge
* United Nations Anti Poverty Event
* ICANN
* Regierung von Neuseeland
* Bob Dylan
* 24 heures
* Led Zeppelin
* Sun
* Electronic Arts (Battlefield Heroes)
* Metallica
* Adobe (Flex.org)
* Jabber
* Femina
* Joëlle Milquet
* RTBF
* Universal Music
* R.E.M.
* Nike (Beijing Olympics)
* FedEx
* France24
* MotoGP
* Pink
* Premierminister von Belgien
* GigaOm
* Radio Donna
* Fast Company
* AOL
* Flip Kowlier
* Popular Science
* Mike Bloomberg
* Rock Band
* Amnesty International
* Novell
* Yahoo! Research
* Macworld
* FOSDEM
* Avril Lavigne
* Electronic Frontier Foundation
* Jennifer Lopez
* Britney Spears
* UPEI
* United Nations
* Lifetime
* CBC
* Warner Bros
* FOX Searchlight
* Tori Amos
* Eclipse
* Discovery Channel
* The Onion
* Royal Flemish Philharmonic
* 9lives
* Grateful Dead
* MensHealth
* Ozzy Osbourne
* Die Zeit
* Studio Brüssel
* Greenpeace
* OSI
* CD&V
* Playboy
* Die Welt
* Ubuntu
* Ads of the world
* Hillary Clinton
* Sony Musicbox
* PlayStation (Asia)
* Ninjas
* Ecademy
* Second Life
* The world
* Indymedia
* Moby
* MTV
* NATO
* NASA
* VRT
* DivX

[psren]

schon welche gefunden, alles klar,

wenn das mal nicht überzeugend ist, die Liste speicher ich mir mal:

* Mercy Corps
* Jamaikanische Premierminister
* Nvidia
* OpenSource.com
[...]

Wäre ja auch fast obskur wenn OpenSource.com kein OS einsetzen würde :P

[leo]

In vielen Rechenzentren ist ein solcher Hinweis im Quelltext ein Killerkriterium gegen den Einsatz der Software. Hintergrund ist ein immerhin theoretisch konstruierbarer Sicherheitsaspekt: wenn ich weiß, welche Software die Seiten ausliefert, kann ich meine Hacker-Anstrengungen auf die potenziellen Sicherheitslücken dieser einen Software konzentrieren und muss nicht mehr mit der Schrotflinte schießen.

Dieses Argument ist Quatsch. Es gibt sehr viele Kriterien, an denen man das verwendete CMS eindeutig erkennen kann, da kommt es kein bisschen auf den Copyright-Hinweis an. Zudem zeigt die Erfahrung, dass die meisten Angriffe automatisiert erfolgen und Brute-Force-mäßig drauf los gehackt wird. Ich finde beispielsweise regelmäßig Spuren in den Serverlogs, die auf Angriffe mit Joomla!-Hacks hinweisen, obwohl eigentlich Wordpress oder Contao installiert ist.

Ich bin jetzt seit 10 Jahren im Webhosting-Geschäft tätig und mir ist noch nicht eines dieser "vielen Rechenzentren" begegnet, in denen es eine solche Vorschrift gäbe. Dort läuft ja dann sicherlich auch kein TYPO3, kein xt:Commerce und die Hälfte aller andere Open Source-Programme . Von Linux-Servern, MySQL und dem Apache-Dienst mal ganz abgesehen, die auch alle Open Source sind und sich fast immer auch eindeutig identifizieren lassen.

[corticelli]

Ich arbeite in einem solchen RZ. Und mit "viele" sind nicht die "normalen" Webhoster gemeint, sondern spezialisierte RZ, die Webanwendungen eher nebenher haben, aber als Schnittstelle zu ihren "eigentlichen" Systemen benötigen. Beispiel sind Banken-RZ, die auch das eBanking und die Websites der Banken betreuen. Davon gibt es in der Tat "viele".

Und: wie gesagt - das Argument mag auf sachlicher Ebene angreifbar sein, es nimmt ihm nichts von seiner Gültigkeit, wenn es um die Wirklichkeit in vielen (tendenziell größeren) Unternehmen geht: hier ist die Verantwortung in der Regel auf so viele Schultern verteilt, so dass sich keiner mehr wirklich etwas traut.

Versetz Dich einen Moment in die Situation eines angestellten Security-Menschen, der für ein solches RZ verantwortlich ist: wenn der die Wahl hat, anhand eines einfach feststellbaren Kriteriums eine Entscheidung zu treffen (früher war das: "in PHP programmiert?! No way!!", heute sind das eben z.B. solche Hinweise) oder alternativ eine Ausarbeitung für seinen Chef zu schreiben, wo er darlegt, warum es trotzdem sicher ist, während er eigentlich dafür zuständig ist, den "echten" Betrieb am Laufen zu halten (zum Beispiel mal eben ein paar Tausend Finanztransaktionen am Tag von einem Webgateway auf den Host durchzuschleusen, dann fällt die Entscheidung leicht: er wird den Einsatz ablehnen, und seien die echten Fakten für diese Entscheidung noch so dünn.

Und noch zum Thema Einbruch: Du gehst von den typischen Fällen aus, wo Botnetze nur irgendwelche beliebigen Server hijacken, um damit meinetwegen Trojaner zu verteilen. Dies ist sicherlich das weitaus häufigste Szenario. Wovor der eingangs erwähnte RZ-Mensch mehr Angst hat: der Einbrecher will exakt diese eine Anwendung knacken. Warum es ihm also unnötig einfach machen? Und ich denke, man kann den HTML-Output und alles sonstig sichtbare Verhalten von Contao sehr wohl soweit "tunen", dass es seine Herkunft nicht sofort verrät ... sicher wird das alleine keinen ernstgemeinten Angriff verhindern, aber die zehn Minuten, die es bringt, geben einer WAF vielleicht die Chance zu reagieren.

[xtra]

Und ich denke, man kann den HTML-Output und alles sonstig sichtbare Verhalten von Contao sehr wohl soweit "tunen", dass es seine Herkunft nicht sofort verrät ... sicher wird das alleine keinen ernstgemeinten Angriff verhindern, aber die zehn Minuten, die es bringt, geben einer WAF vielleicht die Chance zu reagieren.

Mit vertretbarem "tunen", sprich ohne jede Datei und Template anzufassen, gib mir 20 Sekunden.
Aber die auch nur deshalb, weil ich gerade in der einen Hand eine K-Fee-Tasse habe und daher nicht so schnell tippen kann.

Du kriegst es innerhalb ein paar Sekunden raus, Stichworte: CHANGELOG.TXT, Page source nach "tl_" und"mod_" grep'en uvm.

Diese "Angriffspunkte" kannst du nur abstellen, wenn du an vielen Stellen im System Hand anlegst.
Die Arbeit macht sich keiner "der den Betrieb einfach nur am laufen halten will".
Wenn er aufgrund dieser Copyrighthinweise das System ablehnt, dann isses verunderlich aber nicht zu aendern.
Die Grundproblematik ist in solchen Unternehmen sowieso eine andere, naemlich "Ich bin nicht Schuld, frag XY".
Bei einer Kaufsoftware ist dies logischerweise der Hersteller bei Contao nicht, denn selbst die kommerzielle Lizenz bringt Leo und das Projekt in keinerlei Haftung.
Die Entscheidung faellt somit mit "wenn was schief geht, dann kann ich XY belangen und bin selbst fein raus".

Und das ist es wogegen ich mich wehre. Die kommerzielle Lizenz bringt keinem(!) Kunden etwas.

Gruss
Chris

[Trendy]

Du kriegst es innerhalb ein paar Sekunden raus, Stichworte: CHANGELOG.TXT, Page source nach "tl_" und"mod_" grep'en uvm.

Würde hier das System umgeschrieben ist es grundsätzlich aus mit der Updatefähigkeit, ganz zu schweigen von Modulen usw.

Jedes System ist zu knacken, wenn man die Punkte kennt, da gebe ich Dir recht!

Und: wie gesagt - das Argument mag auf sachlicher Ebene angreifbar sein, es nimmt ihm nichts von seiner Gültigkeit, wenn es um die Wirklichkeit in vielen (tendenziell größeren) Unternehmen geht: hier ist die Verantwortung in der Regel auf so viele Schultern verteilt, so dass sich keiner mehr wirklich etwas traut.

Ist exakt so. Ich habe einem börsennotierten Unternehmen seit 6 Monaten Systeme vorgeschlagen, als letztes jetzt C.

Die eiern wegen solchen Sachen ziemlich rum.

[corticelli]

Die Arbeit macht sich keiner "der den Betrieb einfach nur am laufen halten will".

Das ist dann wiederum der Vorteil der arbeitsteiligen Gesellschaft: diese Arbeit würde ja nicht der SEC-Mensch machen, sondern ein Entwickler. Denn wenn eine Entscheidung mal gefallen ist, wird es auch bis zum bitteren Ende durchgezogen. Aber zugegeben: ab einem gewissen Punkt wird die Diskussion albern und der Aufwand so Quatsch nachzuziehen größer als der potenzielle Nutzen. Ich habe es halt versucht, weil ich der Ansicht bin, dass Contao mit etablierten Systemen (OS oder CS, grad egal ...) auch und gerade in Punkto Sicherheit mithalten kann. Aber da zählt der lange Atem ...

[FloB]

Wenn du spezialisierte Rechenzentren ansprichst: Die hosten auch keine Websites (im klassischen Sinne), also wird hier Contao so oder so nicht eingesetzt.

[leo]

Ich frage mich für wen die Info "in speziellen Rechenzentren für Großbanken gibt es bestimmte Vorschriften" nützlich sein soll. Soweit ich weiß haben wir keine Großbanken in der Community und installieren unsere Webseiten auf ganz normalen Webservern, wo es keine solchen Einschränkungen gibt. Wo ist also der Bezug zur kommerziellen Lizenz?

Mit vertretbarem "tunen", sprich ohne jede Datei und Template anzufassen, gib mir 20 Sekunden.
Aber die auch nur deshalb, weil ich gerade in der einen Hand eine K-Fee-Tasse habe und daher nicht so schnell tippen kann.

Wäre vielleicht eine gute Idee, eine solche vermeintlich "abgesicherte" Seite mal exemplarisch zu analysieren und zu zeigen, in was für einer falschen Sicherheit man sich dabei wiegt. Wer möchte kann ja mal einen Link posten

[corticelli]

Erstens geht es nicht um Großbanken, sondern um das exakte Gegenteil davon. Zweitens ist dies eh nur ein Beispiel für die Gedankengänge vieler Großunternehmen, und dafür, dass ich mir das nicht ausdenke, sondern dass es in manchen Fällen den Einsatz von Contao verhindert. Drittens habe ich vielleicht ein wenig zu undeutlich formuliert, dass ich ein Contao-Apostel bin, der versucht hat, an den Vorurteilen etwas zu ändern und Contao in einer solchen Umgebung zu etablieren.

Deshalb nochmal in aller Klarheit: die Tatsache, dass es so ist (eigene Erfahrung), heißt nicht, dass ich es selbst gut finde. Ich versuche halt, etwas daran zu ändern und schimpfe nicht nur.

Mir geht es auch nicht darum, ultimativ etwas zu fordern (hey, dein Ding, Deine Regeln), sondern darum, Verständnis für Standpunkte zu vermitteln, die halt mal nicht dem Mainstream der Nutzer im Forum entsprechen. Und: wenn es keine Großbanken hier in der Community gibt: die täten doch nicht schaden, oder? Vielleicht sogar nützen?

Natürlich kann man das alles nicht nur an der Lizenz festmachen, es sind viele Faktoren, und die meisten davon sind in den Köpfen der potenziellen Anwender und die meisten davon wiederum sind unbegründete Vorurteile. Aber umso mehr: diese potenziellen Anwender gewinne ich nicht, indem ich ihre Einwände reflexartig als Blödsinn abtue, sondern indem ich geduldig Aufklärungsarbeit leiste. Die Namensänderung zum Beispiel hat vielen Aposteln das Leben deutlich leichter gemacht. Die Tatsache, dass Contao ein zuverlässiges, transparentes Releasekonzept vorzuweisen hat, ist auch hilfreich. Und wenn eine kommerzielle Lizenz als Türöffner dient, warum nicht? Es muss ja nicht so bleiben, auch Großunternehmen lernen, wenn auch langsamer.

[corticelli]

@FloB: ich hatte doch geschrieben: es gibt viele spezialisierte RZs, die eben nebenbei auch Websites für ihre Kunden hosten. Nicht für jedermann, aber ansonsten eben ganz normale Websites. Und wenn Sparkassen-RZs T3 einsetzen, warum sollten Steuerberater-RZs nicht Contao einsetzen?

[do_while]

Wäre vielleicht eine gute Idee, eine solche vermeintlich "abgesicherte" Seite mal exemplarisch zu analysieren und zu zeigen, in was für einer falschen Sicherheit man sich dabei wiegt. Wer möchte kann ja mal einen Link posten

Ich kann mich erinnern, dass ich vor über einem Jahr, als der Copyright-Vermerk noch im Standard-Template häufig versehentlich entfernt wurde, bei Leo angefragt habe, ob die gefundene Seite eine kommerzielle Lizenz hat.

Das war eine legale kommerzielle Lizenz, aber ich hatte kein Problem schon am Aufbau, an den internen Links, usw. eindeutig ein TYPOlight zu erkennen. Im Zweifel ruft man den Zugang zum Backend auf, dann hat man sogar die Versionsinfo.

Die Linkadresse werde ich natürlich hier nicht nennen.

[Trendy]

Wäre vielleicht eine gute Idee, eine solche vermeintlich "abgesicherte" Seite mal exemplarisch zu analysieren und zu zeigen, in was für einer falschen Sicherheit man sich dabei wiegt. Wer möchte kann ja mal einen Link posten

könnte man doch mal ne frische Testseite aufsetzten und zum "knacken" frei geben.

Die anschließenden Erkenntnisse sind mit Sicherheit interessant. Würde mich schon mal interessieren, wie viele Ansätze dort dann gefunden werden.

Das war eine legale kommerzielle Lizenz, aber ich hatte kein Problem schon am Aufbau, an den internen Links, usw. eindeutig ein TYPOlight zu erkennen. Im Zweifel ruft man den Zugang zum Backend auf, dann hat man sogar die Versionsinfo.

Wenn einer wirklich aus Sicherheitsgründen etwas verlschleiern will, wird wohl hier den Ansatz suchen, eben nicht erkennbar zu machen, um welches System es sich dreht.

Wir haben unter Umständen jedoch eine weitere Sicherheitslücke entdeckt , wo es möglich ist, mit einfachen Mitteln Zugangsdaten in Klarschrift darzustellen. Wir machen hier noch einmal, der Sicherheitshalber, den Test und werden dann berichten.

[xtra]

Wir haben unter Umständen jedoch eine weitere Sicherheitslücke entdeckt , wo es möglich ist, mit einfachen Mitteln Zugangsdaten in Klarschrift darzustellen. Wir machen hier noch einmal, der Sicherheitshalber, den Test und werden dann berichten.

Da in der Datenbank keine Zugangsdaten in "Klarschrift" abgespeichert werden, bezweifle ich dies doch stark.
Eine Sicherheitslycke koennte hoechstens diese gesalzenen hashes auslesen bzw. "darstellen".
Ein Angriff auf dieselbigen gestaltet sich selbst mit rainbow tables seeeehr langwierig.
Dennoch teste bitte und teile deine Ergebnisse mit, damit die Lycke ggf. sofort geschlossen werden kann.

Gruss
Chris

PS: eine Seite zum "hacken" aufzusetzen und freizugeben ist eine nette Idee, mach doch mal. Ich bezweifle jedoch, dass sich viele melden werden. Problematisch ist weiterhin, welche Extensions installierst du dort? Weil der Core sollte inzwischen wirklich "dicht" sein. Zumindest vom Frontend her. Im BE koennte man evtl. noch was finden wie man privilege escalation oder aehnliches betreiben koennte.

[Trendy]

Hi Chris

werden wir morgen mitteilen, mit Sicherheit aber hier nicht öffentlich, sollte alles stichfest sein, werde ich das jedoch via pm mitteilen an Leo oder auch an Dich.

Die Seite kann ich mal kurz machen, nur mit Standardsachen, man muß ja fair sein.