Journal Un grand dilem

Posté par  (Mastodon) .
Étiquettes : aucune
0
2
mar.
2005
Voila, comme je l'ai expliqué sur http://linuxfr.org/forums/12/7109.html(...) , j'ai développé une petite appli GTK pour streamer sa webcam sur un portail web.

Evidemment je n'ai pas tout réécrit, j'ai utiliser libjpeg , curl et la partie grab pour v4l d'xawtv.
J'ai contacté les gens de ww.com, l'appli les intéressent, mais ils veulent uniquement packager un binaire.
L'excuse est la suivante
"... To give those people a tool this powerful would be like handing a
running chainsaw to a 10 year old in a shopping mall and I don't
think that's the responsible thing to do ...."

Pour résumer, ils ont peur qu'en donnant le procédé de publication uniquement basé sur du post http, leurs sites soient envahis de scripts kiddies saturant le serveur ou créant des comptes à tout va.

Ils savent pertinament qu'en sniffant les paquets (ce que j'ai fait) on retrouve facilement le procédé, mais ils estiment que les scripts kiddies n'en sont pas capables ...

Pour moi il est hors de question d'autorisé uniquement un binaire, 1 parceque l'appli utilise plein de codes GPL (si je ne m'abuse, l'appli complete doit rester GPL) et de 2 j'ai envie de la mettre sous GPL (meme si j'avais tout réécrit).

J'aimerai que les gens puisse l'utiliser mais je ne veux pas créer plus de problemes au service ww.com.

Je pense que légalement je peux publier mes sources, mais déontologiquement, je ne veux pas etre a l'origine de problemes pour ce service.

Et vous, vous feriez quoi ?

  • # ben...

    Posté par  . Évalué à 4.

    Tu proposes le binaires et déclarant que tu es prêt à filer les sources à ceux qui le demandent (ce qui dit la GPL) par email (ou autres moyens). Non ?

    • [^] # Re: ben...

      Posté par  (site web personnel) . Évalué à 1.

      Euh la GPL dit qu'il faut fournir les sources dans les mm condition que le binaire. Dans ton cas il faut fournir le binaire egalement par courriel.

      • [^] # Re: ben...

        Posté par  . Évalué à 3.


        j'ai des fort doute la dessus.

        La GPL dit que tu doit offrir l'acces au source a ceux qui ont le binaire.

        Sur les medias la seul précisions dont je me souviens est que tu peut faire payer les frais lié a l'envoie des sources (CD, poste), et sinon que ca doit plutot etre gratuit.

        La GPL n'impose rien en ce qui concerne le canal de distribution.

        sinon:

        Tu fait un DVD avec firefox dessus, tu doit fournir les sources que sur DVD.
        :)


      • [^] # Re: ben...

        Posté par  . Évalué à 2.

        conditions de licences (droits) et pas support physique.

  • # arf

    Posté par  (site web personnel) . Évalué à 4.

    Et vous, vous feriez quoi ?

    Je leur expliquerais que leur argument est bidon ;)

    • [^] # Re: arf

      Posté par  (Mastodon) . Évalué à 1.

      deja fait ... maintenant il me propose que la partie protocol soit uniquement fournis en tant qu'objet .
      Est ce que ca viole la GPL ?

      • [^] # Re: arf

        Posté par  . Évalué à 1.

        En tant qu'objet??? Ca doit être faisable en fournissant le code comme une librairie externe au programme sous forme de plugin par exemple.

      • [^] # Re: arf

        Posté par  (site web personnel) . Évalué à 9.

        Il ne faut pas accepter, que ça viole ou non la GPL:
        -d'une part cela empecherait les gens de l'utiliser sur des plateformes autres que celles pour laquelle l'objet est fourni,
        -d'autre part ça ne change rien point de vue sécurité: la sécurité par l'obscurité ne marche pas et je pense que qqn qui serait capable de lire ton code pour en faire un outil d'attaque est certainement capable soit de sniffer les paquets, soit de faire un strace sur le prog binaire.

        Si leur proto est pourri, tu n'y peux rien, ce n'est pas le fait de ne pas publier ton code qui y changera quoi que ce soit (au contraire, ils en feront peut-être un autre meilleur du coup!). A ta place (mais je n'y suis pas!) je publierais.

        • [^] # Re: arf

          Posté par  (Mastodon) . Évalué à 2.

          Ouais je sais bien tout ca .. je leur ai expliqué, mais bon, c'est leur portail c'est leur gagne pain .. Moi j'ai développé ca pour m'amuser (en vrai pour me calmer les nerfs parceque j'ai arrété de fumer).
          Donc vraiment, je sais pas quoi faire ...

  • # juste au passage

    Posté par  . Évalué à 6.

    dilem -> dilemme

  • # le fond du problème n'est pas ton soft

    Posté par  . Évalué à 7.

    mais leur protocole et leur infrastructure qui peut être abusés et dont ils se protègent à travers une politique "security by obscurity".

    par exemple, ils n'ont peut etre rien prévu pour gérer des quotas d'images transférées ou empécher des inscriptions automatiques ou autre... ça marche pour l'instant bien comme ça et ils prient pour que ça continue.

    si demain un script kiddie ou un gros nuisible pond ou récupère un outil équivalent au tien, le vrai problème se posera pour de bon.

    bref. une vague bidouille peut être d'utiliser un User Agent précis comme NomDeTonAppli (en le passant par curl) explicitement autorisé par leur service et à laisser "secret" le leur utilisé dans leur protocole. comme ça, le jour où ton appli est abusée, ils peuvent la répudier. ce qui n'arrange rien ni personne mais les rassurera peut-être et les fera dormir tranquile d'ici là.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.