Claws Mail abandonne son greffon ClamAV

Posté par (page perso) . Modéré par Amaury.
Tags : aucun
1
21
fév.
2008
Internet
Claws Mail est un client de courrier électronique basé sur la bibliothèque GTK+ et privilégiant la légèreté, la rapidité et l'extensibilité grâce à un système de greffons.

Une version, numérotée 3.3.1, devrait sortir sous peu pour apporter des correctifs à des problèmes découverts depuis la 3.3.0. L'un de ces problèmes est assez important, étant donné qu'il s'agit de faire cesser une violation de copyright concernant ClamAV. En effet, en septembre 2007, le projet Claws Mail était passé sous licence "GPLv3 ou suivante". Ceci avait été fait après une comparaison entre la GPLv2 et v3, et une vérification que rien ne s'opposait à ce changement.
Toutefois, lors de cette vérification, le fait que la bibliothèque 'libclamav' (utilisée par le greffon antivirus ClamAV) soit sous licence GPLv2 stricte, sans clause "ou suivante", était passé inaperçu. Ce problème a récemment été découvert via un rapport de bug chez Debian .

Dans un premier temps, l'équipe de Claws Mail a repassé son greffon ClamAV en licence GPL v2 ou suivante, mais suite à une discussion avec James Vasile, avocat au Software Freedom Law Center, il s'est avéré que ceci ne suffisait pas. Seules trois solutions étaient possibles: un assouplissement vers la GPLv2 ou suivante de la part du projet ClamAV, un retour à la GPL v2 ou suivante de la part du projet Claws Mail dans son intégralité, ou un abandon du greffon ClamAV. Une quatrième solution aurait pu faire l'affaire, en utilisant clamav via son interface en ligne de commande; mais cette solution s'est avérée insatisfaisante, étant donné le ralentissement important que ceci occasionnait.

ClamAV ne pouvant changer de licence, étant donné que Sourcefire, la société qui emploie la majorité de l'équipe ClamAV, s'y oppose, et l'équipe de Claws Mail refusant de retourner à la GPL v2 ou suivante, le greffon a été abandonné.

Enfin, depuis la version 3.0.0, dernière annoncée sur linuxfr.org, beaucoup de nouvelles fonctionnalités ont été implémentées : les accès réseau aux groupes Usenet sont devenus non-bloquants, GnuTLS peut être utilisé en lieu et place d'OpenSSL, l'impression de courriels est faite via GTK directement, la gestion des labels est fonctionnelle sur IMAP, le mode hors-ligne est activable automatiquement via NetworkManager, le port MAEMO a été amélioré, et bon nombre de bugs corrigés.
  • # WebKit

    Posté par . Évalué à 1.

    Ca libere une place pour le plugin WebKit ;-)
  • # troll...

    Posté par (page perso) . Évalué à 0.

    comme quoi la GPL libère vraiment la création logicielle... :°)
    • [^] # Re: troll...

      Posté par . Évalué à 0.

      C'est ça que je ne comprends pas. Je croyais que les GPL v2 et v3 pouvaient coexister au sein d'un même logiciel, et que c'était en particulier le cas avec le noyau linux.
      • [^] # Re: troll...

        Posté par . Évalué à 4.

        non, la GPLv2 et v3 sont incompatible. et c'est fait exprès, ca a été voulut par la FSF.

        La "GPLv2 only" et la GPLv3 sont incompatible parce qu'elle demande toutes les deux que l'ENSEMBLE du programme soit avec la même licence.

        La "GPLv2 or later" est compatible avec la GPLv3 puisque la "GPLv2 or later" peux être transformer en "GPLv3".

        Voir la FAQ http://www.gnu.org/licenses/gpl-faq.html
        • [^] # Re: troll...

          Posté par . Évalué à 2.

          > ca a été voulut par la FSF.

          Mouaif.
          Ce sont les objectifs de la GPL v3 qui l'impose. Ces objectifs (éviter les accords type MS/Novell, etc) sont incompatibles avec la GPL v2.
          Ce n'est pas gratuitement incompatible.
  • # Simple question

    Posté par (page perso) . Évalué à 0.

    N'y aurait-il pas eu une 5ème solution ?

    Proposer le paquet principal clawsmail sous licence GPLv2 et un paquet additionnel clawsmail-plugin-clamwin sous licence GPLv3 ?

    C'est peut-être un peu simpliste, mais c'est la première idée qui m'est venu en lisant cet article.

    Bonne fin de journée.
    Salokine
    • [^] # Re: Simple question

      Posté par . Évalué à 5.

      J'imagine que tu veux dire :
      - paquet ClawMail principal sous GPL v3
      - paquet additionnel clawsmail-plugin-clamwin sous GPL v2

      Mais malheureusement ca n'est pas plus possible.
      Un plugin est une librairie (*.so ou dll) tout comme libclamav.
      Et la GPLv2 ne peux liée avec un code GPLv3 : elles sont mutuellement exclusives. Quelque soit la rédaction de la GPLv3, la GPLv2 interdit qu'un code autre que GPLv2 lui soit liée.
      Il n'est pas question de packaging mais bien de lien mémoire, comme dans Dynamicly Linked Library.

      Maintenir le plug'in en v2 ne ferait que décaler le problème ailleurs : nous n'aurions pas le droit de charger le plugin dans ClawMail, ce qui ne donne pas plus la fonctionnalité.
      La seul solution légale est d'utiliser le binaire clamav, mais il semblerait que ce soit lent.

      Pas que je sois utilisateur de la chose, mais il me semble qu'une solution lente est toujours mieux que pas de solution du tout. Après libre à l'utilisateur de choisir d'activer l'AV ou pas...

      mes 2¢
      • [^] # Re: Simple question

        Posté par (page perso) . Évalué à 0.

        je ne comprends pas très bien, est-ce la gplv3 qui est incompatible avec la gplv2 ou l'inverse ?
        D'après ce que j'avais compris sur la GPL, c'est qu'on pouvait l'utiliser avec d'autres produits sous licence non-gpl à partir du moment où certaines conditions sont respectées. D'ailleur KDE est en LGPL et se linke avec QT en GPL.

        Si la gplv3 est incompatible avec la v2 et non l'inverse, la balle se trouve dans le clan de clawsmail : il suffit de faire une note d'exclusion autorisant l'utilisateur du produit à le lier avec la libclamAV en gplv2, un peu comme les applications GPL sont censées le faire pour utiliser openssl (qui n'est pas gpl-compliant)

        Et j'ai vraiment des doutes que la gpl v2 soit incompatible avec la v3 (dans ce sens là)
        • [^] # Re: Simple question

          Posté par (page perso) . Évalué à 1.

          au temps pour moi, le lien sur la faq de gnu est très clair (voir la matrice, section "utiliser une librairie") :
          http://www.gnu.org/licenses/gpl-faq.html#AllCompatibility

          Par contre il n'y a pas de note expliquant si on peut utiliser une lib en gpl v2 en rajoutant une note d'exclusion.
          Mais ça me parait fort quand même de pénaliser ceux qui n'ont pas publié leur sources en GPLv2 or later : ça me parait être un très mauvais plan de signer un contrat en blanc sur une licence qui n'existait pas à l'époque
          • [^] # GPLv2 or later

            Posté par . Évalué à 1.

            D'après le lien que tu as posté, il n'est pas possible de lier un exécutable "GPLv3" à une librairie "GPLv2 only".

            Par ailleurs j'ai vu quelquefois qu'en droit français une licence "GPLv2 or later" n'a pas de valeur : l'exécutable sera considéré comme GPLv2 only.

            Du coup, ma question : en droit français, lier un exécutable GPLv3 à une librairie GPLv2 (only, ou bien "or later") est-il de toute façon une violation de copyright ?
            • [^] # Re: GPLv2 or later

              Posté par . Évalué à -1.

              Si on faisait du droit français, la GPL, aui est rédigée en anglais, n'est pas une licence valide.
    • [^] # Re: Simple question

      Posté par (page perso) . Évalué à 7.

      C'est la solution à laquelle nous avions pensé, mais l'avocat du SFLC nous a dit que ce n'était pas possible.

      L'autre solution était de scanner par ligne de commande:
      - avec clamscan, chaque scan charge la base AV, scanne, décharge la base. Cela prend 3 secondes par mail sur un Core 2 Duo à 1.6GHz, c'est trop lent à notre avis.
      - avec clamdscan, qui utilise le démon, ça va plus vite (environ 0.5 secondes par email), mais le démon ne tournant pas en root mais sous le user clamav sur pas mal de distributions, il n'arrive pas à lire les fichiers email, sauf à élargir les droits (qui sont, dans Claws, -rw------) à -rw-r--r-- ; une solution qui ne nous plaisait pas non plus.

      Evidemment, c'est idiot d'avoir raté cette lib lorsque nous sommes passés en GPLv3. Mais, maintenant que c'est fait depuis déjà 5 mois, nous ne pouvons pas réellement retourner en arrière ; et, de toutes façons, les principes de la GPLv3 séduisent la majorité de l'équipe Claws...
      • [^] # Re: Simple question

        Posté par . Évalué à 3.

        > il n'arrive pas à lire les fichiers email, sauf à élargir les droits
        Pourquoi ne pas tout simplement lui envoyer le mail sur son entrée standard et lui faire vérifier /dev/stdin ? (ou passer par un FIFO dans /tmp)
        • [^] # Re: Simple question

          Posté par (page perso) . Évalué à 1.

          Il n'est pas implémenté comme ça, ça ne fonctionne pas:

          Exemple avec une image:
          cleroy@colin:~$ clamscan 1.png
          1.png: OK

          ----------- SCAN SUMMARY -----------
          Known viruses: 217226
          Engine version: 0.92
          Scanned directories: 0
          Scanned files: 1
          Infected files: 0
          Data scanned: 0.44 MB
          Time: 3.165 sec (0 m 3 s)

          cleroy@colin:~$ clamdscan 1.png
          /home/cleroy/1.png: lstat() failed. ERROR

          En essayant avec l'entrée standard:
          cleroy@colin:~$ clamdscan < 1.png
          /home/cleroy: Access denied. ERROR

          Il essaye de scanner tout le répertoire courant et ne fait même pas attention à stdin.
          • [^] # Re: Simple question

            Posté par . Évalué à 4.

            Et pourquoi ne pas réecrire un bout de clamscan, un executable exprès pour ça, qui puisse scanner des mails en pagaille et vite depuis la ligne de commande, et utiliser ce programme là ? :]

            Je suis sur que si vous le proposez à clamav, ils voudront bien l'integrer, ça peut interesser du monde !
          • [^] # Re: Simple question

            Posté par (page perso) . Évalué à 3.

            Une piste comme ça qui m'a l'air d'un moindre mal:
            pourquoi ne pas lancer un clamd avec les droits de l'utilisateur au démarrage de Claws Mail? en générant un clamd.conf sécifique ça m'a l'air faisable ( en créant une socket du style /tmp/$user-clamd.sock , et tout à l'avenant...)
    • [^] # Re: Simple question

      Posté par . Évalué à 5.

      une question naïve : ça sert à quoi un antivirus qui sert à priori à détecter les virus windows, quand le système est sous linux ? C'est quand on s'échange des fichiers .doc pour éviter les macro virus ? quand on s'échange des binaires .exe ? Moi cela ne m'arrive jamais ni dans le premier cas, ni dans le second (les fichiers genre funwithbritney.exe étant systématiquement effacés et non pas transférés à mes contacts).
      Clamav permet-il de détecter des rootkit linux ?

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: Simple question

        Posté par . Évalué à 3.

        A éviter la propagation d'un virus lors d'un transfert de courriel?
      • [^] # Re: Simple question

        Posté par . Évalué à 2.

        Dans les entreprises, institutions, ... le mail est rarement émis par le poste de travail directement mais plutôt par un serveur mail. De même, le mail reçu l'est par un serveur (évenruellement le même) qui sotcke les messages et donne un accès par IMAP(S) (voire POP(S)).
        Dans ces conditions, avoir un antivirus au niveau de ces serveurs permet d'éviter d'envoyer et/ou recevoir trop de virus. Et ce, quelque soit l'OS des postes de travail.

        Autre exemple : si on fournit une redirection de mail (une série d'alias sans stockage de mail), il est important de filtrer les mails transitant par le serveur du domaine relayé sinon ce serveur risque de se faire marquer comme spammeur par les serveur SMTP auxquels il relaie ses mails.

        Bref, il y a tout plein de raisons d'avoir un antivirus (pour toutes les plateformes) fonctionnant sous linux.
  • # Re:

    Posté par . Évalué à 5.

    Qui veut du plugin ClamAV pour Claws Mail ?
    • [^] # Re:

      Posté par (page perso) . Évalué à -5.

      « Qui veut du plugin ClamAV pour Claws Mail ? »

      Qui veut de Claws Mail tout court ? :)
  • # C'est pas une grosse perte.

    Posté par (page perso) . Évalué à 5.

    De toute façon les anti-virus c'est inutile. :-)
    • [^] # Re: C'est pas une grosse perte.

      Posté par . Évalué à 1.

      A chaque fois qu'on parle anti-virus sur un site de linuxiens on entend dire ça.

      Le hors-série de GLMF ne dit pas la même chose. (Certains répondront qu'il est rédigé par des gens dont c'est le métier de bosser sur des antivirus...)

      Je ne crois pas que ClamAV ne détecte que des virus pour windows.

      Je n'ai pas peur des virus sur mon PC perso de bureau sous linux et je n'utilise pas d'AV, mais rien n'empêche qu'ils existent a priori donc pourquoi dire qu'un AV ne sert à rien ? De toute façon je n'avais pas peur des virus quand mon PC était sous Windows non plus, et mon AV ne m'a jamais rien détecté. Donc c'est facile de faire le malin sans AV sous linux.

      Les anti-virus sous linux ne me paraissent pas inutiles pour les sites qui nécessitent le maximum de protection. D'ailleurs si je confiais des infos personnelles à une administration/entreprise sous linux et si elle se les faisait voler et si ça aurait pu être évité grâce à une protection antivirus qu'elle n'avait pas cru bon d'utiliser sous prétexte qu'un antivirus sous linux à sert à rien, je pense que je pourrais me retrourner contre cette administration/entreprise.

      Les anti-virus sous linux ne me paraissent pas inutiles pour les serveurs de courriel sous linux qui traitent des messages destinés au monde Windows.

      Mais le cas du greffon pour courrielleur est un cas particulier d'utilisation. Et le greffon ClamAV de Claws-mail ne me parraît pas indispensable, effectivement. En tout cas sur le court terme. Car dans les cas que j'ai évoqués, compte-tenu de l'état actuel des virus pour linux, c'est surtout les grosses structures qui auraient besoin d'AV, et je ne crois pas que la gestion des virus se fasse au niveau du courielleur, sur le poste utilisateur.
      • [^] # Re: C'est pas une grosse perte.

        Posté par . Évalué à -1.

        > donc pourquoi dire qu'un AV ne sert à rien ?

        Ça ne sert à rien sur un système bien conçu. Sur une daube comme Windows (et ce n'est pas vraiment l'OS qui est en cause mais IE, Outlook, etc) ça sert à quelque chose.
        Si un virus est possible avec un programme, la bonne solution n'est pas d'ajouter un anti-virus, mais de revoir le programme. Firefox n'autorise pas des choses qu'autorise IE car ce sont des niches à virus.

        > D'ailleurs si je confiais des infos personnelles à une administration/entreprise sous linux et si elle se les faisait voler et si ça aurait pu être évité grâce à une protection antivirus qu'elle n'avait pas cru bon d'utiliser sous prétexte qu'un antivirus sous linux à sert à rien

        Si ça ne sert à rien, ça ne va pas empêcher le vole.

        > Les anti-virus sous linux ne me paraissent pas inutiles pour les sites qui nécessitent le maximum de protection.

        Ça n'a jamais rien apporté au niveau sécurité à long terme. Les OS les plus sûr ne sont pas les OS qui ont le plus d'anti-virus. Plus un OS a besoin d'anti-virus, plus il est pourri. Évitons d'avoir besoin d'un anti-virus, ne faisons pas un OS (ou programme) pourri. Cette démarche a largement démontré sa supériorité sur la "politique" MS en terme de sécurité.
        La présence d'un anti-virus est seulement la preuve d'un OS pourri. Pour la sûreté de tes données, évites les OS qui demandent un anti-virus.
  • # GPLV2 pour le plugin avec exception ?

    Posté par (page perso) . Évalué à 0.

    arrêtez-moi si je dis une bêtise, mais n'est-il pas possible de diffuser le plugin sous GPLV2, avec une exception autorisant à le linker à Claws Mail ?
    • [^] # Re: GPLV2 pour le plugin avec exception ?

      Posté par . Évalué à 4.

      Non, il faudrait que la licence de Claws-Mail le permette. Sinon, ce serait trop facile ...
      Sinon, peu me chaut, rien à foutre des utilisateurs de Windows. Ça m'économise du temps CPU pour des trucs plus utiles.

      PS: j'en profite pour saluer les développeurs de Claws-Mail pour leur excellent boulot ! :o)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.