Les ASPs: un moyen de contourner la GPL ?
Aller plus loin
- L'explication (2 clics)
- Nessus (3 clics)
L'accès au site de Nessus devient restreint
13
sept.
2001
Sur sa première page, le site de Nessus informe que l'accès du site, principalement les mises à jour des tests, est restreint à certaines entreprises et personnes qui contribuent à Nessus. L'auteur, met en cause l'attitude de celles qui se basent sur Nessus pour proposer des services de test de vulnérabilité en ligne, sans contribuer au developpement de Nessus.
Les ASPs: un moyen de contourner la GPL ?
Les ASPs: un moyen de contourner la GPL ?
# C'est plus fort que toi ...
Posté par Mathieu Millet (site web personnel) . Évalué à 10.
Je m'interroge sur le fait que la loi française sur le copyright (peut-être le droit d'auteur plus précisement?) est plus "forte" que la GPL.
Dans la loi française, on a le droit d'interdire à certaines personnes d'accéder à ses créations alors qu'on les diffuse librement ou presque ?
Merci de bien vouloir m'éclairer sur ce point.
[^] # Re: C'est plus fort que toi ...
Posté par peau chat . Évalué à 10.
Non, la propriété intellectuelle.
on a le droit d'interdire à certaines personnes d'accéder à ses créations alors qu'on les diffuse librement ou presque ?
1) La discrimination est interdite.
2) On ne peut pas revenir sur un contrat de licence, à moins que ledit contrat prévoit explicitement les modalités de révisions.
En clair et en décodé : Tu diffuses ton soft en GPL. Un jour tu te dis : "non, je ne veux plus de la GPL". Tu en as le droit (si tu es le seul et unique auteur du soft bien sûr), mais la version que tu as diffusée en GPL reste et demeure en GPL. Une "licence", c'est un contrat de concession de brevet ou licence. Impossible de revenir dessus.
[^] # Re: C'est plus fort que toi ...
Posté par Mathieu Millet (site web personnel) . Évalué à 1.
except under the french copyright law which is considered as being stronger than the GPL in court ?
Plus fort sur quel point ? Sur la limitation de diffusion ? Sur les capacite de copyleft ?
Et en quoi, c'est plus fort ?
Merci pour toute aide?
[^] # Re: C'est plus fort que toi ...
Posté par peau chat . Évalué à 10.
Sur rien du tout, c'est complètement idiot de dire que la Loi française est plus forte que la GPL. Cela n'a aucun sens.
La Loi Française, c'est une Loi qui est codifiée dans le code de la propriété intellectuelle.
La GPL est un contrat de concession de licence.
Cela n'a rien à voir.
De deux choses l'une, soit ce contrat est conforme à la Loi Française, soit il ne l'est pas. Jusqu'à preuve du contraire le contrat est tout à fait valable. Si je détiens la propriété intellectuelle de mon code, j'ai tout à fait le droit de dire, "faites ce que vous voulez de ce code, mais voici les conditions". Bien sûr, il faut que ces conditions soient conformes à la Loi (je n'ai pas le droit de dire, utilisation du Logiciel interdite aux noirs et aux arabes par exemple, ce serait une clause qualifiée de "non écrite").
En ce qui concerne le copyleft et la limitation de diffusion, n'en déplaise aux P.Breese et autres industriels de la propriété intellectuelle, ce n'est pas du tout un problème. On en a l'illustration tout les jours quand un musicien ou un photographe dit "vous pouvez utiliser & interpréter mon oeuvre gratuitement, comme bon vous semble, à condition que ce soit pour une oeuvre caritative comme la lutte contre le SIDA".
[^] # Re: C'est plus fort que toi ...
Posté par Deraison Renaud . Évalué à 10.
Sur rien du tout, c'est complètement idiot de dire que la Loi française est plus forte que la GPL. Cela n'a aucun sens.
Si, tout simplement parceque :
- En France, tu ne peux pas révoquer un droit
- Tout le monde est d'accord sur le fait que le modèle ASP c'est un point qui n'a pas été prévu à l'origine par la GPL.
- La GPL n'est pas rédigée en français, donc de toute façon elle n'est pas légale en France.
- Tout citoyen français a un droit à la propriété intellectuelle
Donc à mon gout, ça se défendrait au tribunal, du moins face à une société française comme c'est le cas aujourd'hui (les pires ne sont pas toujours au fin fond de la planète, ils peuvent aussi être situés pas loin de chez vous. A Rennes par exemple).
[^] # Re: C'est plus fort que toi ...
Posté par Annah C. Hue (site web personnel) . Évalué à 1.
Ta dernière phrase m'a juste fait pensé à cette entreprise car ils embauchaient y'a 1,5 an des mecs pour faire une passerelle HTTP/nessus...
[^] # Re: C'est plus fort que toi ...
Posté par Anonyme . Évalué à 0.
[^] # C'est PAS plus fort que toi ...
Posté par Ano . Évalué à 3.
D'ou:
On était d'accord sur les éléments essentiels du "contrat", on est indeffectiblement liés.
Donc:
La loi Française plus forte que la GPL? Ouaip, mais la loi française l'accepte (a mon sens, elle ne contient aucun élément contrevenant à l'ordre public Français) et donc la protège.
Tu utilise un soft sous GPL, tu est lié par la GPL. Tu a lancé un soft sous GPL (offre de services aux conditions posées par la GPL), tu est lié par la GPL envers ceux qui ont acceptés cette offre (rencontre des consentements materialisée par l'usage fait par l'utilisateur du logiciel rendant le contrat parfait).
Bon, maintenant ma spécialitée c'est droit public. Y'a-t-il un privatiste dans la salle pour confirmer ou infirmer ma théorie?
[^] # Re: C'est plus fort que toi ...
Posté par Vanhu . Évalué à 0.
Justement .....
Je me demandais si ca serait pas intéressant d'avoir une 'liste des contributeurs à l'envers', histoire de savoir vers quelle société ne pas forcément se tourner pour avoir un audit Nessus.....
Bien sur, loin de moi l'idée de demander une liste des sociétés "interdites de mises a jour nessus", ca serait surement illégal (dénonciation ? diffamation ? ou autre) !!
Mais bon, déjà une liste de villes à éviter :-)
[^] # Re: C'est plus fort que toi ...
Posté par peau chat . Évalué à 8.
J'ai bien dit qu'il allait que le contrat soit conforme à la Loi, ce qui jusqu'à preuve du contraire est le cas de la GPL.
Et la Loi ne concerne pas que la propriété intellectuelle. Il existe aussi un droit des contrats. Un contrat accepté par 2 parties ne peut être révoqué que par un accort entre les 2 parties (ou bien par l'application d'une clause du contrat, ce qui revient au même puisque les 2 parties étaient d'accord sur le contrat).
Tout le monde est d'accord sur le fait que le modèle ASP c'est un point qui n'a pas été prévu à l'origine par la GPL
Il y a 2 aspects dans les ASP. Le logiciel sur site centralisé, un site HTML par exemple. La commercialisation du service n'entre pas dans le cadre de la GPL qui ne concerne que la diffusion du logiciel. Ce n'est pas un probleme. En droit ce qui n'est pas interdit est autorisé, le fait que ce ne soit pas prévu dans la GPL n'invalide pas pour autant le contrat de la GPL. Ce n'est pas parce que mon propriétaire a oublié de mettre dans le contrat de bail que je n'avais pas le droit de faire un barbecue dans mon jardin que le contrat de bail est invalide et que je peux arrêter de payer le loyer.
- La GPL n'est pas rédigée en français, donc de toute façon elle n'est pas légale en France.
Merci de m'opposer mes propres arguments (cf ma contribution plus bas); mais il semble que tu as mal compris.
Ce n'est pas la GPL qui n'est pas légale, c'est le fait de m'opposer la GPL si elle ne m'a pas été présentée, en tant que particulier, en Français. Une entreprise qui a accepté la GPL comme licence d'utilisation du logiciel doit la respecter, même si le contrat était rédigé en anglais.
- Tout citoyen français a un droit à la propriété intellectuelle
Bien sûr, c'est bien pour cela que la GPL et autres licences existent, sinon le logiciel ne serait pas "libre" mais dans le domaine public, ce qui n'a rien à voir. J'ai la propriété intellectuelle de mon code. Je le diffuse avec un contrat d'utilisation. Ma propriété intellectuelle est inaliénable, mais je suis aussi tenu de respecter le contrat. Le code de la prop int. définit la propriété intellectuelle, mais définit aussi la notion de licence d'utilisation !
Par analogie avec la propriété privée (bien que les analogies soient dangereuses en droi) : je signe un bail locatif pour un appartement dont je suis le propriétaire. Ma propriété est inaliénable, mais je ne peux pas mettre le locataire dehors, je dois respecter le bail locatif. Si le locataire ne respecte pas le contrat, je dois moi-même continuer à le respecter. Si je ne veux plus être tenu par les obligations de ce contrat, je dois soit demander au locataire de résilier lui-même le contrat, soit en demander la résiliation au Tribunal de Grande Instance d'en déclarer la résiliation au motif que l'autre partie ne respecte pas le contrat... pourtant c'est bien ma propriété privée qui est inaliénable.
[^] # Re: C'est plus fort que toi ...
Posté par peau chat . Évalué à 3.
Ceci dit en passant, cela rend passible de poursuites pour contrefaçon les ISP qui possèdent des proxy, si dans la mémoire du proxy il y a des documents dont la copie est soumise à restriction... (!)
[^] # Re: C'est plus fort que toi ...
Posté par Robert Chéramy . Évalué à 2.
Faux.
En France, un logiciel dépend du droit d'auteur. Et dans le droit d'auteur, un auteur a un droit inaliénable de rétractation, c'est à dire qu'il peut interdire la diffusion de son oeuvre (oui, il peut demander à ce que son livre ne soit plus vendu en libraire), même si elle a été diffusée auparavant.
Ceci dit, à partir du moment où un auteur a accepté un patch à son logiciel, il n'en est plus l'unique auteur et l'oeuvre devient collective. Il faut alors l'autorisation de tous les auteurs pour exercer ce droit.
Conclusion : soumettez des patchs et améliorez le logiciel libre !
[^] # Re: C'est plus fort que toi ...
Posté par Robert Chéramy . Évalué à 1.
# Les ASPs: un moyen de contourner la GPL ?
Posté par kadreg . Évalué à 10.
En prenant un logiciel GPL et en le dotant d'une interface d'accès à distance, tant que l'on ne distribue pas ce logiciel mais qu'on le rend utilisable par le net, on devient un ASP qui n'a pas à contribuer au soft.
Ce probleme deviendra sans doutes de plus en plus genant si les ASP (pas les Actives Server Pages, les Application Services Providers, fournisseurs d'application) deviennent répandus.
La GPL a aujourd'hui un "trou" (a mon sens, il s'agit plus d'utiliser le logiciel dans une optique contraire à l'esprit général de la GPL), qui, il me semble (et certains pourront peut etre me confirmer ou m'insulter si j'ai encore sorti une connerie) sera corrigé dans la GPL V3 qui prendra mieux en compte ce type d'application.
Diverses applications sont sujettes a cela aujourd'hui, les principales étant les applications PHP. Je peut prendre un groupware PHP, faire les modifs et devenir le numero 1 mondial de l'agenda centralisé, profitant au maximum d'une application GPL sans rien donner en retour (puisque je ne met pas l'application à disposition, rien ne m'oblige a donner mes modification.
[^] # Re: Les ASPs: un moyen de contourner la GPL ?
Posté par Anonyme . Évalué à 10.
Je me pose la question de "l'utilisation d'un logiciel dans un esprit non conforme à la GPL"? Le dernier point que tu abordes ne me parraît pas contraire à l'esprit de la GPL.
Il ne faut pas oublier que la licence publique Apple n'a pas été reconnue comme logiciel libre à cause justement de l'obligation de publier les modifications. Voir à ce sujet http://www.gnu.org/brave-gnu-world/issue-28.fr.html(...)
[^] # Re: Les ASPs: un moyen de contourner la GPL ?
Posté par kadreg . Évalué à 6.
Je ne l'oublie pas, mais lorsque l'on a un ASP, c'est cette notion de redistribution du logiciel qui devient caduque. Par des applications centralisées comme celle faites par les ASPs, il n'y a besoin que d'UNE instance du logiciel pour une utilisation "worldwide". C'est la première fois que l'on se trouve face a ce type d'utilisation. Donc c'est pour cela que je me demande si la GPL y est véritablement adaptée. Quelqu'un a l'avis d'un ponte de la FSF qui traine ?
[^] # Re: Les ASPs: un moyen de contourner la GPL ?
Posté par PLuG . Évalué à 6.
Cependant je vois un autre problème (certes moins important). La GPL autorise quiconque a modifier le soft et beaucoup ne se gênent pas. Si le résultat est diffusé, il doit l'être en GPL et beaucoup respectent cela.
Mais l'auteur initial du soft ne peut pas passer son temps a suivre les versions modifiées de son oeuvre pour intégrer ou non les améliorations. Je ne trouve pas "fairplay" de ne pas:
1/ avertir l'auteur de la modif réalisée
2/ lui proposer un patch, plus facile a intégrer/débroussailler que le source complet.
Les softs GPL sont de plus en plus utilisés par des entreprises/personnes qui sont complètement étrangères à la communauté du libre... Quand ils ont des améliorations à apporter, les diffuser n'est pas dans leur reflexes... Pourtant un petit mail à l'auteur avec un diff -Naur ne coûte pas très cher !!
Je rappelle par exemple les différences scandaleuses entre les différents BSD qui ne se passent pas le mot quand ils corrigent un trou de sécurité dans un daemon ... Pourvu que la communauté GPL ne tombe pas dans cet excès !!
[^] # Re: Les ASPs: un moyen de contourner la GPL ?
Posté par jpph . Évalué à 5.
De plus, ce qui est q mon avis plus illegal, c est que ces societe n'affiche pas le nom du soft sur les pages asp.
[^] # Re: Les ASPs: un moyen de contourner la GPL ?
Posté par peau chat . Évalué à 9.
La GPL a aujourd'hui un "trou" [qui] sera corrigé dans la GPL V3"
J'espère bien que non, sinon la GPL va devenir de pire en pire, et plus grave risquerais de devenir incompatible avec le code de la propriété intellectuelle Français.
Supposons que PHP soit en GPL (ce qui à ma connaissance n'est pas le cas).
Si tu fais un site, et que tu codes tes propres fonctions PHP, tu enrichis le langage PHP pour une utilisation que tu rends accessible, donc avec cette GPL V3 virtuelle sur serais obligé de diffuser le code source de cette fonction PHP.
Par extension, quelle est la différence entre du code PHP qui déclare une fonction faisant des manipulations de chaines de caractères (par exemple), et du code PHP qui produit du code HTML affichant "Bonjour, bienvenue sur mon site".
Aucune.
Cela veut dire que l'ensemble du contenu de ton site tombera sous le coup de la GPL.
Mais, si sur ton site, il y a des rédacteurs, qui publient des articles, ils en détiennent la propriété intellectuelle qui est inaliénable. Toi tu vas leur dire "désolé, il y en a qui ont repompé ton article, tu peux rien dire paske c'est à cause du PHP utilisé sur le site qui est en GPL...".
On arrive là dans une incompatibilité juridique parce que un contrat (de concession brevet/licence, la GPL en l'occurrence) n'est pas opposable à un tier.
J'ose espérer que RMS utilisera, our rediger la GPL v3, les services d'avocats un peu plus compétents que ceux à qui il a fait appel pour la GPL V2.
D'ailleurs, je rappelle une faiblesse fondamentale de la GPL en France. La FSF ne reconnait que a version anglaise de la GPL. Mais en France, d'après la Loi, un contrat qui est diffusé publiquement doît être rédigé en Français.
Quand je récupère un soft en GPL, je ne suis donc pas soumis à la GPL, puisque le contrat est rédigé en Anglais, cependant je suis soumis au Code de la Prop. Int., je n'ai donc théoriquement pas le droit de modifier le soft (ni de le copier) d'ailleurs.
[^] # Re: Les ASPs: un moyen de contourner la GPL ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 4.
La FSF Europe travaille sur la question.
http://www.fsfeurope.org/law/law.fr.html(...)
[^] # Re: Les ASPs: un moyen de contourner la GPL ?
Posté par Lu (site web personnel) . Évalué à 4.
Il est évident qu'il serait bon (nécessaire ?) que cette traduction soit "officialisée" et disponible sur le site gnu.org.
[^] # Re: Les ASPs: un moyen de contourner la GPL ?
Posté par lorill (site web personnel) . Évalué à 6.
Supposons...
Si tu fais un site, et que tu codes tes propres fonctions PHP, tu enrichis le langage PHP pour une utilisation que tu rends accessible,
Tu enrichis probablement le langage, mais ce n'est pas le langage qui est en GPL. C'est l'interpréteur, le module apache, bref, le programme. Quand tu fais un document avec latex, par exemple, est-ce que tu l'enrichis ?
Continuons tout de même.
donc avec cette GPL V3 virtuelle sur serais obligé de diffuser le code source de cette fonction PHP.
Avec les suppositions faites sur la GPL v3 et sur PHP, c'est vrai.
Cela veut dire que l'ensemble du contenu de ton site tombera sous le coup de la GPL.
Non. Tu peux très bien filer le source de la fonction qui t'affiche un tag IMG, mais l'image ne sera pas GPL.
Mais, si sur ton site, il y a des rédacteurs, qui publient des articles, ils en détiennent la propriété intellectuelle qui est inaliénable. Toi tu vas leur dire "désolé, il y en a qui ont repompé ton article, tu peux rien dire paske c'est à cause du PHP utilisé sur le site qui est en GPL...".
Sauf que comme tu n'est pas idiot, tu auras stocké les articles dans une base de données, et ton php ne fera que récupérer l'article et l'afficher d'une certaine manière. Il n'y a vraiment aucun interet à ecrire un article en dur dans du php. Du coup, tu devras probablement filer les sources de ta fonction de lecture et d'affichage d'article a partir d'une base de données, mais certainement pas l'article.
Quand je récupère un soft en GPL, je ne suis donc pas soumis à la GPL, puisque le contrat est rédigé en Anglais, cependant je suis soumis au Code de la Prop. Int., je n'ai donc théoriquement pas le droit de modifier le soft (ni de le copier) d'ailleurs.
Bon, la je ne sais pas, je me pose la question.
Personne ne peut te forcer a accepter la GPL en anglais. Mais vu qu'elle te donne des droits au lieu de t'en enlever, peux tu choisir d'y adhérer, ou n'est-ce pas valide ?
[^] # Re: Les ASPs: un moyen de contourner la GPL ?
Posté par peau chat . Évalué à 3.
Si c'est valide. J'ai bien dit qu'on ne peut pas t'opposer la GPL, je n'ai pas dit qu'on pouvait te l'interdire.
Mais, à cause du code de la PI, tu ne peux rien faire sans l'accord de l'auteur. Donc tu es dans une impasse... encore que tu peux toujours dire que comme c'est rédigé en Anglais, tu n'as pas compris les articles qui te donnent des interdictions. Au tribunal, en tant que particulier, tu gagnes à coup sur ou presque.
[^] # Re: Les ASPs: un moyen de contourner la GPL ?
Posté par Anonyme . Évalué à 1.
[^] # Re: Les ASPs: un moyen de contourner la GPL ?
Posté par kadreg . Évalué à 1.
[^] # Re: Les ASPs: un moyen de contourner la GPL ?
Posté par kadreg . Évalué à 1.
C'est pourtant le cas de PHP3.
http://www.php.net/license/(...)
Si tu fais un site, et que tu codes tes propres fonctions PHP, tu enrichis le langage PHP pour une utilisation que tu rends accessible, donc avec cette GPL V3 virtuelle sur serais obligé de diffuser le code source de cette fonction PHP.
Il y a une différence entre l'interpreteur et le code interpreté. Comme avec le compilateur et le code compilé.
Une application PHP dispose d'une limite claire par rapport à son interpreteur, il s'agit donc d'une application séparée, qui peut donc être soumise à une autre license (y compris un truc bien propiétaire).
Ce sur quoi je m'interroge, ce n'est pas les modifs sur PHP en elle meme, mais sur les modifs d'un soft GPL écrit en PHP, et qui, par sa structure, n'a pas besoin de redistribution pour être répandu.
A noter que le contenu d'un site peut également être parfaitement séparé du soft du site, de la même facon que de nombreux logiciels propriétaires sont écris avec M-x Emacs. La GPL n'est quand même pas aussi "virale".
[^] # Re: Les ASPs: un moyen de contourner la GPL ?
Posté par peau chat . Évalué à 3.
On se demande comment c'est possible d'avoir un module apache en GPL, puisque comme indiqué sur le site de GNU, la licence Apache est incompatible avec la licence GPL, et que donc par conséquent effectuer un link dynamique au runtime entre Apache-licence et GPL constitue une violation de la GPL...
[^] # PHP le vilain violeur de GPL
Posté par Toufou (site web personnel) . Évalué à 1.
On se demande pourquoi alors personne ne l'a fait remarquer jusqu'ici... Je ne me rappelle plus quelle est la différence entre la license de PHP3 et celle de PHP4, mais le changement a peut-être été motivé entre autres raisons par ce problème ? (soyons utopistes)
[^] # Re: Les ASPs: un moyen de contourner la GPL ?
Posté par Jean . Évalué à 4.
C'est l'interpréteur php (module apache?) qui est en GPL dans ce cas précis il me semble. Quand tu écris tes propres fonctions PHP, tu ne fais qu'utiliser une syntaxe particulière, qui va etre interprétée par PHP (dites moi si je me trompe :).
Mais utiliser un programme GPL n'oblige pas l'utilisateur du dit programme à distribuer ce qu'il a produit avec en GPL (sauf mention spéciale de l'auteur). Donc il me semble que t'es pas obligé de mettre tes fonction PHP en GPL.
En revanche, si tu modifies le module Php, alors tu dois le faire en GPL si ces modifications sont (re)distribuées.
Voilà comme je vois l'affaire.
Jean.
# Est-ce la bonne solution ?
Posté par Anonyme . Évalué à 1.
D'un coté la GPL oblige l'auteur a s'exposer à ce genre de risques (récupération par d'autres personnes). Mais lui permet d'attaquer les gens ou les sociétés qui distribuent une partie du logiciel sans citer l'auteur original et sans les sources.
D'un autre coté, attaquer pénalement ces sociétés (surtout s'il s'agit de sociétés qui sont sur des pays différents que celui de l'auteur) risque de prendre du temps et de couter à la fois argent et temps à l'auteur qui a autre chose à faire.
On oscille entre faire confiance à la justice et faire justice soit même. C'est cette dernière solution que l'auteur de Nessus semble avoir choisi.
Entre nous, je ne l'en blâme pas. Nessus est un excellent outils et le fait de le savoir réutilisé par des entreprises sans qu'ils citent l'auteur original, ni ne donnent les sources, me révolte.
Néammoins, la solution de 'cacher' les sources ne peut pas tenir longtemps.
Il va falloir soit changer de licence, par exemple ne mettre sous licence GPL que la version immédiatement inférieure à la dernière et garder sous licence privée la dernière version.
Cette solution ne me choquerait pas outre mesure étant donné que les particuliers n'ont pas forcément besoin de scanner les dernières technologies en matière de piratage, mais plutôt de s'assurer qu'ils ne sont pas trop vulnérable. Alors que les entreprises veulent un scan à jour. Hé bien, qu'elles payent pour ça !
Sinon, ils faudrait poursuivre les sociétés qui font de la concurence déloyale.
À mon avis, elles le méritent, mais le résultat est trop incertain et consommerait du temps et de l'argent (comme je l'ai déjà dit).
Si l'auteur de Nessus donnait le nom de ces sociétés, je suis sûr qu'un petit boycott pourrait s'organiser. Mais il faut être SÛR qu'elles pratiquent ce genre de méthode.
[^] # Re: Est-ce la bonne solution ?
Posté par Anonyme . Évalué à 3.
Il me semble que c'est ce qu'il se passe avec Sendmail et Ghostscript, non?
[^] # Re: Est-ce la bonne solution ?
Posté par Vanhu . Évalué à 1.
Pour Sendmail (qui n'est pas sous GPL, tu le sais, je le sais, mais il vaut mieux le rappeler a tout le monde...), c'est encore différent: il y a une version 'libre' et une version 'commerciale' qui integre en plus des outils d'administration (et des fonctionalités supplémentaires, je crois).
A verifier...
[^] # Test juridique de la GPL en vrai?
Posté par schyzomarijks . Évalué à 2.
* Si c'est le cas, je pense que la FSF devrait se pencher sur ce problème, cette fondation est là pour apporter une aide juridique aux projets GNU, non?
Si des sociétés utilisent Nessus en ne respectant pas la license, il faut attaquer. Des LL ont été trainer en justice pour moins que cela. C'est vrai que cela coute de l'argent, mais c'est pour cela que l'on donne des dons à la FSF.
Maintenant, si utiliser les technologies ASP permet de contourner la GPL 2.0, il est temps de lancer le devel de la version 2.1.
[^] # Re: Test juridique de la GPL en vrai?
Posté par Benoît Sibaud (site web personnel) . Évalué à 2.
[^] # Re: Test juridique de la GPL en vrai?
Posté par François Désarménien . Évalué à 1.
toujours par un accord amiable démontre qu'il
s'agit d'un bonne licence : il n'y a pas
besoin d'un test juridique.
[^] # de quoi
Posté par Anonyme . Évalué à 4.
D'un autre coté, attaquer pénalement ces sociétés (surtout s'il s'agit de sociétés qui sont sur des pays différents que celui de l'auteur) risque de prendre du temps et de couter à la fois argent et temps à l'auteur qui a autre chose à faire. »
Disons que ces entreprises ne sont pas du tout dans l'illégalité : ils utilisent le logiciel. Ils ne le distribuent pas.
« On oscille entre faire confiance à la justice et faire justice soit même. C'est cette dernière solution que l'auteur de Nessus semble avoir choisi. »
Quelle justice ? Si en droit, généralement on considère qu'on ne peut être juge et partie, ce n'est pas innocemment.
« Il va falloir soit changer de licence, par exemple ne mettre sous licence GPL que la version immédiatement inférieure à la dernière et garder sous licence privée la dernière version. »
Licence privée : quelle jolie formulation pour faire du logiciel propriétaire. Non, la question est de savoir s'il mesure et est près à accepter ce que signifie logiciels libres.
« Cette solution ne me choquerait pas outre mesure étant donné que les particuliers n'ont pas forcément besoin de scanner les dernières technologies en matière de piratage, mais plutôt de s'assurer qu'ils ne sont pas trop vulnérable. Alors que les entreprises veulent un scan à jour. Hé bien, qu'elles payent pour ça ! »
Oui, on a compris que tu es à fond dans le la logique propriétaire. Dans les bureaux de la firme fleuron de cette logique, on dit aussi que les particuliers n'ont pas besoin d'un SE stable, clone d'unix (avec tout ce que ça implique).
« Sinon, ils faudrait poursuivre les sociétés qui font de la concurence déloyale. »
T'as vraiment lu le sujet ?
[^] # Re: de quoi
Posté par Deraison Renaud . Évalué à 10.
Cela fait trois ans que je travaille sur Nessus, et trois ans qu'il est et reste libre, et je pense savoir ce que cela signifie.
Maintenant, lorsque je vois une entreprise lors de sa présentation commerciale sortir que "leur" moteur est le meilleur, et que après questions du public ils admettent qu' "un des composants" est Nessus, alors que dans les faits, Nessus+Whisker+Nmap font 99% du boulot, il ne s'agit plus vraiment de logiciel mais de discours marketting foireux. Lorsque la meme société, six mois avant, questionnée sur leur moteur affirme que c'est leur propre technologie, ca fait mal. Ce qui fait encore plus mal c'est que encore et toujours la meme société, lorsqu'au meme salon on lui dit "ah bon, vous n'utilisez pas Nessus ?" ils affirment "si si. Mais on n'en est pas très content. On a réécrit tous les plugins, parceque l'auteur n'a pas l'air de savoir ce qu'il fait", alors qu'en pratique ils s'en servent tel quel, je ne peux pas tolérer cela. Idem lorsqu'on télécharge la brochure sur leur site web et qu'elle ne mentionne aucun logiciel libre.
Pour résumer, parceque je vois passer tout et n'importe quoi :
- Je ne demande a personne de diffuser les modifs qu'ils font aux sources de Nessus. Je suis conscient de la réalité commerciale et je sais que ce n'est pas envisageable (déjà que 90% des ASPs utilisent Nessus, si en plus ils publient leur modifs, la seule différence ce sera les gifs animés) ;
- Je n'ai pas l'intention de changer de license ;
- Je demande que plutot que d'utiliser les termes "notre technologie" et "notre moteur" et "le fruit de notre R&D", ils disent plus simplement "Nessus". Idem pour les fonctionnalités - lorsqu'ils disent "Notre moteur testera un serveur web alors qu'il tourne sur le port 21", c'est un mensonge. C'est Nessus et mon code qui font ça ;
- Je demande que des sociétés qui vivent exclusivement de mon produit contribuent. Et pas seulement en publiant trois tests de vulnérabilité sur un an. On a besoin de matériel, de developeurs, etc, etc... Lorsque je fait un appel sur la liste Nessus pour des changements majeurs qui seraient de toute facon bénéfiques pour les ASPs, ils font la sourde oreille.
Voila. Et comme j'ai pas de XP, modérez tous ca a +255 :)
[^] # Re: de quoi
Posté par Anonyme . Évalué à 2.
[^] # Re: de quoi
Posté par Deraison Renaud . Évalué à 10.
Ces sociétés respectent la licence.
C'est pas très difficile de respecter la licence lorsqu'il s'agit de n'avoir aucune obligation vis-à-vis de l'auteur :)
En revanche, je leur demande du savoir-vivre. Cela signifie que s'ils ont des ressources pour coder un truc qui sera codé de toute façon, et qui ne peut que leur simplifier la vie, ils le fassent vraiment (ils avaient promis d'engager un "dévelopeur GPL", mais j'attends toujours) et qu'ils soient honnetes commercialement. Sans Nessus, ils perdaient un ou deux ans, le temps de déveloper un produit du meme genre, qui aurait de toute façon été moins testé et probablement moins exhaustif. En contrepartie, c'est normal qu'ils ne clament pas que c'est "leur invention", parceque c'est mentir à leur clients.
Et dire que :
my_secret_scanner.sh
c'est un scanner propriétaire, alors que le contenu est sans doute équivalent à :
--------------------------------------------
#!/bin/sh
nmap $1 && whisker $1 && nessus $1
--------------------------------------------
(j'omets la partie "génération des rapports de toutes les couleurs"), c'est nul, c'est tout.
Idem lorsque je fait de la veille et que je publie des plugins tant que je peux, alors que je suis à l'autre bout du monde, et qu'ils se vantent d'avoir une super équipe de veille active, ca me fait mal aussi. Ils prennent mes efforts et récupèrent les honneurs. C'est le genre de détail qui me fait me demander si je devrais pas tout arreter, pour changer.
[^] # Re: de quoi
Posté par Anonyme . Évalué à 2.
C'est sur, la GPL n'oblige personne a avoir de la reconnaissance ou du savoir vivre, voire simplement de la politesse.
Je suis tout à fait d'accord avec toi, la manière dont ils se comportent est honteuse. Juste une chose: DES NOMS!
[^] # Re: de quoi
Posté par Etienne Roulland . Évalué à 0.
Y'a pas de raisons de pas les donner.... Si ?
[^] # Re: de quoi
Posté par Anonyme . Évalué à 0.
Je trouve que cette société est complétement en tort.
Mais pourquoi ne pas dire ouvertement son nom ?
C'est pour des problèmes légaux ?
[^] # Re: de quoi
Posté par Deraison Renaud . Évalué à 5.
On dira que oui. Mais un astucieux lecteur a trouvé la bonne solution déjà, un peu plus haut...
[^] # Re: de quoi
Posté par Stéphane Salès . Évalué à 1.
"astucieux lecteur" ... à quelle heure par exemple ? ;)
[^] # Re: de quoi
Posté par Annah C. Hue (site web personnel) . Évalué à 2.
[^] # Re: de quoi
Posté par Annah C. Hue (site web personnel) . Évalué à 3.
Bon j'essaye encore de chercher une boite de sécurité informatique à Rennes qui ferait de la veille et tout : http://www.google.com/search?q=soci%E9t%E9+s%E9curit%E9+rennes+comm(...)
[^] # Re: de quoi
Posté par Anonyme . Évalué à 1.
[^] # Re: de quoi
Posté par ehe666 . Évalué à 1.
connaissant leur directeur commercial je crois que c'est très mal baré...
[^] # Re: de quoi
Posté par Vanhu . Évalué à 3.
Comprends pas bien, la: Nessus est sous GPL, ils ont pas obligation de préciser le soft qu'ils utilisent si c'est fait publiquement ?
Je reconnais ne pas connaitre toute la GPL par coeur, mais si elle ne spécifie pas ca, peut etre que la prochaine version le devrait, ou peut etre simplement que tu (tout le monde, en fait) devrait ajouter une telle clause: je pense pas qu'un "si vous utilisez publiquement mon code, vous DEVEZ signaler que c'est mon code" soit incompatible avec la GPL, si ?
> Je demande que plutot que d'utiliser les termes "notre technologie" et "notre moteur" et "le fruit de notre R&D", ils disent plus simplement "Nessus"
Ben, si j'ai pas dit une grosse c*nnerie au dessus, tu peux: il suffit simplement de rajouter une telle clause dans la licence.
> Je demande que des sociétés qui vivent exclusivement de mon produit contribuent.
La, c'est plus délicat:
Je comprends tout à fait ton point de vue, et ca serait effectivement probablement bénéfique à ces ssociétés de contribuer "matériellement".
Mais d'un autre coté, il est clair (au moins pour moi) que, si je publie un soft en GPL, j'accepte la possibilité que des sociétés l'utilisent pour gagner de l'argent sans me reverser un centime.
Reste peut etre une autre possibilité: différencier le moteur et les plugins: le moteur resterait sous GPL, mais les plugins (certains plugins ?) seraient sous une autre licence.....
C'est une idée sous GPL :-)
> Et comme j'ai pas de XP, modérez tous ca a +255
Mais si mais si: t'en as déjà 3 d'XP :-)
[^] # Re: de quoi
Posté par gabuzo . Évalué à 1.
Non je ne pense pas. Ceci dit rien n'empêche Renaud d'ajouter une clause pour ça mais ne pas oublier que cela voudrait dire aussi qu'il obligerait l'auteur d'une merde infâme à mentionner basé sur Nesus ce qui ne serait pas nécessairement une bonne publicité.
[^] # Re: de quoi
Posté par Lochon Virgile . Évalué à 2.
Le vrai soucis est que certaines sociétés emploi son logiciel et dénigre son travail ou, pour le moins, le minimise.
Bien entendu que quicqonque à le droit d'utiliser un logiciel en GPL à des fins commerciales.
Mais quand on a un tant soit peu de respect des autres et de savoir vivre on ne dénigre pas en public un outils qu'on utilise. On garde un profil bas.
Sans compter que du point de vue du client c'est limite. Vu les tarifs que pratique ces société pour leurs fameux tests "maison" ils pourraient au moins avoir la décence de ne pas cracher dans la soupe ...
Vraiment je comprends tout à fait la réaction de l'auteur de Nessus, même s'il est vrai qu'elle peut paraître "épidermique" ;-)
Je pense qui si vous avez developpé un outils, quel qu'il soit, vous n'aimerez pas qu'un utilisateur quotidien de celui-ci dise qu'il n'est pas terrible ...
[^] # Re: de quoi
Posté par Denis Barbier . Évalué à 2.
Concernant les ASP, le problème ne me semble pas nouveau, tous les ISP sous Linux sont un peu dans le même cas. Faudrait-il leur demander de fournir les sources des noyaux qu'ils utilisent ?
Je ne connais pas du tout ton secteur d'activité, mais n'est-il pas possible d'encourager les sociétés à participer au développement de Nessus, en leur faisant de la pub sur ton site ? Un accord ouin-ouin, quoi ;)
[^] # Re: de quoi
Posté par Anonyme . Évalué à 2.
- Ils ne participent pas au developpement de Nessus
Bon. J'ai regardé en diagonale la licence GPL (traduite en français là http://www.april.org/gnu/gpl_french.html(...)), et j'ai pas lu quelque part qu'ils étaient obligés de le faire.
Ils ne participent pas au dev, ils ne sont pas obligés non plus.
C'est vrai que quand on choisi la licence GPL pour son soft, on s'expose fatalement à ce genre de chose. C'est vrai aussi que la pillule a du mal a passer quand on se rend compte qu'une société les met en pratique, ces choses.
Cependant, on ne peux pas dire qu'ils ne respectent pas la GPL. Il y a certes une solution. Peu applicable, certes, mais il y a une solution:
Tu ne mets pas à disposition Nessus sur Internet. Tu envoie un mail à chaque personne qui te demande Nessus, avec à l'intérieur le lien et tout ce qui va bien pour avoir les sources.
Certes, ces personnes pourront mettre Nessus sur le Net aussi, en libre accès. Mais tu contrôles quand même à qui tu donne l'accès. Ceci n'est pas contraire à la GPL. Ou alors, tu vends Nessus.
Ce n'est certainement pas ce que tu veux faire, et je te comprends. Moi aussi je trouve que ce que fait cette boîte n'est pas bien, mais quand on fait un bon logiciel, il faut s'attendre à ce genre de chose.
[^] # Re: de quoi
Posté par gabuzo . Évalué à 1.
Dans le cas de nessus est-ce que tu ne pourrais pas ajouter un clause couvrant l'utilisation de Nessus pour la création de services qui indiquerait, comme dans le cas d'une des licences BSD qu'il est nécessaire de mentionner l'utilisation de Nessus ?
# Formulation incorrecte
Posté par Anonyme . Évalué à 3.
"l'accès au site est INTERDIT à certaines extreprises ou personnes qui ne contribuent PAS à Nessus".
Ce n'est pas la même chose.
[^] # Re: Formulation incorrecte
Posté par Anonyme . Évalué à 3.
[^] # Re: Formulation incorrecte
Posté par PLuG . Évalué à 5.
tout ce qu'il demande c'est que
1/ au moins les boites qui utilisent son produit le dise explicitement.
Cela fait un moment apparement que des boites vendent des scan Nessus sur le web. Notez qu'elles vendent un service (le résultat d'un scan) et non le soft lui même. Cela s'apparente un peu aux sociétés de services qui tournent autour des logiciels libres. non ?
Enfin, la goutte qui a fait déborder le vase, c'est que ces boites lui casse du sucre sur le dos publiquement (du moins c'est ce que j'ai compris de ses explications).
Maintenant il devient plus restrictif ...
[^] # Re: Formulation incorrecte
Posté par Anonyme . Évalué à 0.
but I expect to be mentionned and helped in my developement.
J'ai bien lu "and"
[^] # Re: Formulation incorrecte
Posté par jpph . Évalué à 0.
acces interdit au societe qui cachent a leurs clients k'ils ont simplement repomper le soft chez nessus...
[^] # Re: Formulation incorrecte
Posté par Banux (site web personnel) . Évalué à 0.
le plus genant c est que pour pouvoir restreindre l acces les mirroirs sont arrette et donc toute personne faisant ces mise a jour et ces download sur les mirroirs vont devoir utiliser le site principales ce qui peut entrainer des ralentissement du a la saturation de la bande passante de nessus.org
++
Banux
# Pas tout a fait
Posté par Etienne Roulland . Évalué à 0.
En fait il est plutôt restreint pour les entreprises connues pour l'utiliser. L'utilisateur lambda peut toujours récupérer les plugins normalement. (enfin à jeudi 10h30)
# juste une hypothèse...
Posté par oliv . Évalué à 4.
Code de la propriété intellectuelle
"Article L121-4
Nonobstant la cession de son droit d'exploitation, l'auteur, même postérieurement à la publication de son oeuvre, jouit d'un droit de repentir ou de retrait vis-à-vis du cessionnaire. Il ne peut toutefois exercer ce droit qu'à charge d'indemniser préalablement le cessionnaire du préjudice que ce repentir ou ce retrait peut lui causer.
Lorsque, postérieurement à l'exercice de son droit de repentir ou de retrait, l'auteur décide de faire publier son oeuvre, il est tenu d'offrir par priorité ses droits d'exploitation au cessionnaire qu'il avait originairement choisi et aux conditions originairement déterminées."
cependant, ceci n'est pas valable pour les logiciels:
"Article L121-7 (Loi n° 94-361 du 10 mai 1994 art. 3 Journal Officiel du 11 mai 1994)
Sauf stipulation contraire plus favorable à l'auteur d'un logiciel, celui-ci ne peut :
1° S'opposer à la modification du logiciel par le cessionnaire des droits mentionnés au 2° de l'article L. 122-6, lorsqu'elle n'est préjudiciable ni à son honneur ni à sa réputation ;
2° Exercer son droit de repentir ou de retrait."
pour plus d'infos, voir legifrance (au passage, l'article L 122-6 qui date de 1994 est très intéressant pour le reverse engineering) :
http://www.legifrance.gouv.fr/citoyen/code00.ow?heure1=131408220861(...)
PS : ASP : pour ceux (comme moi) qui se demandent ce que cet acronyme recouvre, je suppose qu'il s'agit ici de "Application Service Provider", pas de "Association of Shareware Professionals" ou de "Active Server Pages" ou de " Attached Support Processor" ou même de "Astronomical Society of the Pacific"
Soyez sympas, évitez les acronymes quand ils sont équivoques...
[^] # Re: juste une hypothèse...
Posté par Olivier Jeannet . Évalué à 1.
Merci de nous indiquer un lien, ça m'intéresse bien de lire ce passage, mais il me ramène sur la page d'accueil, apparemment il ne marche pas.
Et quand je veux chercher (sur legifrance) l'article de loi "Loi n° 94-361 du 10 mai 1994" que tu cites avant, je ne trouve que la première page, comment fait-on pour avoir les détails ? Un truc doit m'échapper...
# On ne peux pas le blamer ...
Posté par Lochon Virgile . Évalué à 2.
Depuis le temps qu'il travail sur cet excellent outils et qu'un nombre important de société se font du fric avec ... Bon, d'accord, la GPL n'interdit pas un usage commercial, mais Renaud Deraison ne demandait pas grand chose.
La plupart de ces sociétés produisant des tests de vulnérabilités ne veulent pas débourser un centimes dans des produits commerciaux (et on les comprends au vu des résultats parfois grotesques). Ce n'est pas pour autant une raison pour camoufler l'usage de Nessus et faire croire à leurs clients que les tests sont "le résultat de la veille techno et du developpement interne ...".
Ceci étant, il n'a pas du jeter un coup d'oeil aux rapport de tests produits par ces fameuses sociétés. Sinon il aurait compris que celles-ci n'ont aucune compétence pour l'aider.
De mauvais script-kiddies faisant des tests de vulnérabilité ça ne fait pas des codeurs talentueux.
[^] # C'est une réaction pas du tout esprit open-source
Posté par Anonyme . Évalué à 1.
Quand on choisit de mettre un programme en GPL, il faut savoir ce que l'on fait. Tu le mets pas en GPL quand ça t'arrange, et tu réduit ta politique de licence quand il y a des utilisations qui ne conviennent pas.
C'est la mort de l'open-source ce type de réaction, vous imaginez Linus Torvald faire la même chose ? Pourtant, des boites qui utilisent Linux sans le dire et sans y contribuer c'est pas ça qui manque...
La différence est que Nessus n'est pas réellement dans la communauté open-source (comparé à Linux par exemple) puisqu'on ne le trouve que sur le web Nessus et géré de façon centralisée (il me semble non ?).
[^] # Re: C'est une réaction pas du tout esprit open-source
Posté par Mathieu Dessus (site web personnel) . Évalué à 3.
Les BSDs, ont aussi une gestion centralisee, et ils sont pourtant open-source !
Quand a la reaction de Renaud, si m$ sortait une version de windows completement bassee sur un kernel Linux ou BSD (jeveux dire en entier, pas en pompant que la pile IP, comme c'est le cas maintenant) et qu'il dise, nan c'est notre nouvelle version de windows, qu'on a developpe nous-meme, en puis de toute facon on va pas copier sur Linux, paske ca pue, tu reagirais comment ?
[^] # Re: C'est une réaction pas du tout esprit open-source
Posté par pasBill pasGates . Évalué à 2.
Maintenant tous ceux qui vont avoir la forte envie de me scorer en negatif peuvent le faire, ca voudrait dire qu'ils sont d'un avis oppose au mien, ou qu'ils n'aiment pas ma gueule.
Pour ceux qui sont dans le cas 1), ben qu'ils amenent leurs arguments et preuves, pour ceux dans le cas 2), ben qu'ils aillent regarder a NY ce que ca donne de taper sur la gueule du voisin car il n'est pas d'accord avec vous et qu'ils reflechissent a l'intelligence de leur mode de pensee.
[^] # Re: C'est une réaction pas du tout esprit open-source
Posté par Mathieu Dessus (site web personnel) . Évalué à 1.
[^] # Re: On ne peux pas le blamer ...
Posté par Maxime Ritter (site web personnel) . Évalué à 2.
Si, si tout le monde peut participer !!
Pour reprendre RMS :
- il faut coder
- si tu sais pas coder écrit des docs
- si tu sais pas écrire anglais fait des traductions dans ta langue
Dans tout les cas, n'oublie pas de faire la promotion du libre. Cette entreprise est l'antithèse du libre : elle dit faire du proprio, de la recherche, etc... avec juste un logiciel en GPL extérieur. Et cette société, contrairement à ses concurrents semble ignorer des termes tels que remerciements. Si déjà un mec te fournit 95 % de ton business-plan gratuitement la moindre des choses c'est de le remercier.
Supposons que l'entreprise décide qu'elle ne fait que du pipo et qu'il lui faut des commerciaux à la con pour pipoter ses clients. Dans ce cas, elle aurait au moins pu proposer des sous à l'auteur de Nessus. Après à savoir s'il aurait accepté de faire partie de cette immense arnaque....
Et en plus il ne va pas vraiment loin, car vu la loi française il pourrait réécrire un licence dans laquelle seuls les particuliers auraient une version "pseudo-libre", mais dont les entreprises (on peut même limiter cela géographiquement : Européennes, Francophones, Française, Bretonnes, de la région de Rennes) auraient besoin d'une autorisation (certe gratuite sur demande, mais l'auteur pourrait poser ses conditions à celles ne respectant pas son travail). Il pourrait aussi utilise une BSD-modifié-pour-la-rendre-plus-dure. Genre obligation de mettre son nom en caractères 80 sur toutes les pages d'un quelconque rapport ou document réalisé à l'aide de son logiciel (la licence BSD ne demande que de laisser le nom de l'auteur en apparence, la BSD modifiée supprime cette cause pour la rendre incompatible avec la GPL).
Dans notre cas, la société de Rennes qui fait de la sécurité, pour ne pas la nommer, est un parasite, au même titre que Caldera.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.