Claws Mail abandonne son greffon ClamAV

Posté par Colin Leroy (site web personnel) le 21 février 2008 à 20:00. Modéré par Amaury.

Étiquettes :

fév.

2008

Claws Mail est un client de courrier électronique basé sur la bibliothèque GTK+ et privilégiant la légèreté, la rapidité et l'extensibilité grâce à un système de greffons.

Une version, numérotée 3.3.1, devrait sortir sous peu pour apporter des correctifs à des problèmes découverts depuis la 3.3.0. L'un de ces problèmes est assez important, étant donné qu'il s'agit de faire cesser une violation de copyright concernant ClamAV. En effet, en septembre 2007, le projet Claws Mail était passé sous licence "GPLv3 ou suivante". Ceci avait été fait après une comparaison entre la GPLv2 et v3, et une vérification que rien ne s'opposait à ce changement.
Toutefois, lors de cette vérification, le fait que la bibliothèque 'libclamav' (utilisée par le greffon antivirus ClamAV) soit sous licence GPLv2 stricte, sans clause "ou suivante", était passé inaperçu. Ce problème a récemment été découvert via un rapport de bug chez Debian .

Dans un premier temps, l'équipe de Claws Mail a repassé son greffon ClamAV en licence GPL v2 ou suivante, mais suite à une discussion avec James Vasile, avocat au Software Freedom Law Center, il s'est avéré que ceci ne suffisait pas. Seules trois solutions étaient possibles: un assouplissement vers la GPLv2 ou suivante de la part du projet ClamAV, un retour à la GPL v2 ou suivante de la part du projet Claws Mail dans son intégralité, ou un abandon du greffon ClamAV. Une quatrième solution aurait pu faire l'affaire, en utilisant clamav via son interface en ligne de commande; mais cette solution s'est avérée insatisfaisante, étant donné le ralentissement important que ceci occasionnait.

ClamAV ne pouvant changer de licence, étant donné que Sourcefire, la société qui emploie la majorité de l'équipe ClamAV, s'y oppose, et l'équipe de Claws Mail refusant de retourner à la GPL v2 ou suivante, le greffon a été abandonné.

Enfin, depuis la version 3.0.0, dernière annoncée sur linuxfr.org, beaucoup de nouvelles fonctionnalités ont été implémentées : les accès réseau aux groupes Usenet sont devenus non-bloquants, GnuTLS peut être utilisé en lieu et place d'OpenSSL, l'impression de courriels est faite via GTK directement, la gestion des labels est fonctionnelle sur IMAP, le mode hors-ligne est activable automatiquement via NetworkManager, le port MAEMO a été amélioré, et bon nombre de bugs corrigés.

Aller plus loin

Le site de Claws Mail (5 clics)
Explications sur le blog d'un développeur (1 clic)
Un journal sur le sujet (7 clics)

# WebKit

Posté par Idzi le 21 février 2008 à 20:34. Évalué à 1.

Ca libere une place pour le plugin WebKit ;-)
# troll...

Posté par Francois Revol (site web personnel) le 21 février 2008 à 22:19. Évalué à 0.

comme quoi la GPL libère vraiment la création logicielle... :°)
- [^] # Re: troll...
  
  Posté par dombon45 le 21 février 2008 à 23:11. Évalué à 0.
  
  C'est ça que je ne comprends pas. Je croyais que les GPL v2 et v3 pouvaient coexister au sein d'un même logiciel, et que c'était en particulier le cas avec le noyau linux.
  - [^] # Re: troll...
    
    Posté par Putifuto le 22 février 2008 à 11:09. Évalué à 4.
    
    non, la GPLv2 et v3 sont incompatible. et c'est fait exprès, ca a été voulut par la FSF.
    
    La "GPLv2 only" et la GPLv3 sont incompatible parce qu'elle demande toutes les deux que l'ENSEMBLE du programme soit avec la même licence.
    
    La "GPLv2 or later" est compatible avec la GPLv3 puisque la "GPLv2 or later" peux être transformer en "GPLv3".
    
    Voir la FAQ http://www.gnu.org/licenses/gpl-faq.html
    - [^] # Re: troll...
      
      Posté par IsNotGood le 22 février 2008 à 23:41. Évalué à 2.
      
      > ca a été voulut par la FSF.
      
      Mouaif.
      Ce sont les objectifs de la GPL v3 qui l'impose. Ces objectifs (éviter les accords type MS/Novell, etc) sont incompatibles avec la GPL v2.
      Ce n'est pas gratuitement incompatible.
# Simple question

Posté par Terata Salokine le 21 février 2008 à 22:54. Évalué à 0.

N'y aurait-il pas eu une 5ème solution ?

Proposer le paquet principal clawsmail sous licence GPLv2 et un paquet additionnel clawsmail-plugin-clamwin sous licence GPLv3 ?

C'est peut-être un peu simpliste, mais c'est la première idée qui m'est venu en lisant cet article.

Bonne fin de journée.
Salokine
- [^] # Re: Simple question
  
  Posté par Sébastien Huss le 21 février 2008 à 23:39. Évalué à 5.
  
  J'imagine que tu veux dire :
  - paquet ClawMail principal sous GPL v3
  - paquet additionnel clawsmail-plugin-clamwin sous GPL v2
  
  Mais malheureusement ca n'est pas plus possible.
  Un plugin est une librairie (*.so ou dll) tout comme libclamav.
  Et la GPLv2 ne peux liée avec un code GPLv3 : elles sont mutuellement exclusives. Quelque soit la rédaction de la GPLv3, la GPLv2 interdit qu'un code autre que GPLv2 lui soit liée.
  Il n'est pas question de packaging mais bien de lien mémoire, comme dans Dynamicly Linked Library.
  
  Maintenir le plug'in en v2 ne ferait que décaler le problème ailleurs : nous n'aurions pas le droit de charger le plugin dans ClawMail, ce qui ne donne pas plus la fonctionnalité.
  La seul solution légale est d'utiliser le binaire clamav, mais il semblerait que ce soit lent.
  
  Pas que je sois utilisateur de la chose, mais il me semble qu'une solution lente est toujours mieux que pas de solution du tout. Après libre à l'utilisateur de choisir d'activer l'AV ou pas...
  
  mes 2¢
  - [^] # Re: Simple question
    
    Posté par Aris Adamantiadis (site web personnel) le 22 février 2008 à 02:37. Évalué à 0.
    
    je ne comprends pas très bien, est-ce la gplv3 qui est incompatible avec la gplv2 ou l'inverse ?
    D'après ce que j'avais compris sur la GPL, c'est qu'on pouvait l'utiliser avec d'autres produits sous licence non-gpl à partir du moment où certaines conditions sont respectées. D'ailleur KDE est en LGPL et se linke avec QT en GPL.
    
    Si la gplv3 est incompatible avec la v2 et non l'inverse, la balle se trouve dans le clan de clawsmail : il suffit de faire une note d'exclusion autorisant l'utilisateur du produit à le lier avec la libclamAV en gplv2, un peu comme les applications GPL sont censées le faire pour utiliser openssl (qui n'est pas gpl-compliant)
    
    Et j'ai vraiment des doutes que la gpl v2 soit incompatible avec la v3 (dans ce sens là)
    - [^] # Re: Simple question
      
      Posté par Aris Adamantiadis (site web personnel) le 22 février 2008 à 02:44. Évalué à 1.
      
      au temps pour moi, le lien sur la faq de gnu est très clair (voir la matrice, section "utiliser une librairie") :
      http://www.gnu.org/licenses/gpl-faq.html#AllCompatibility
      
      Par contre il n'y a pas de note expliquant si on peut utiliser une lib en gpl v2 en rajoutant une note d'exclusion.
      Mais ça me parait fort quand même de pénaliser ceux qui n'ont pas publié leur sources en GPLv2 or later : ça me parait être un très mauvais plan de signer un contrat en blanc sur une licence qui n'existait pas à l'époque
      - [^] # GPLv2 or later
        
        Posté par dombon45 le 22 février 2008 à 10:22. Évalué à 1.
        
        D'après le lien que tu as posté, il n'est pas possible de lier un exécutable "GPLv3" à une librairie "GPLv2 only".
        
        Par ailleurs j'ai vu quelquefois qu'en droit français une licence "GPLv2 or later" n'a pas de valeur : l'exécutable sera considéré comme GPLv2 only.
        
        Du coup, ma question : en droit français, lier un exécutable GPLv3 à une librairie GPLv2 (only, ou bien "or later") est-il de toute façon une violation de copyright ?
        
        [^] # Re: GPLv2 or later
        
        Posté par gallenza le 22 février 2008 à 10:49. Évalué à -1.
        
        Si on faisait du droit français, la GPL, aui est rédigée en anglais, n'est pas une licence valide.
- [^] # Re: Simple question
  
  Posté par Colin Leroy (site web personnel) le 22 février 2008 à 00:22. Évalué à 7.
  
  C'est la solution à laquelle nous avions pensé, mais l'avocat du SFLC nous a dit que ce n'était pas possible.
  
  L'autre solution était de scanner par ligne de commande:
  - avec clamscan, chaque scan charge la base AV, scanne, décharge la base. Cela prend 3 secondes par mail sur un Core 2 Duo à 1.6GHz, c'est trop lent à notre avis.
  - avec clamdscan, qui utilise le démon, ça va plus vite (environ 0.5 secondes par email), mais le démon ne tournant pas en root mais sous le user clamav sur pas mal de distributions, il n'arrive pas à lire les fichiers email, sauf à élargir les droits (qui sont, dans Claws, -rw------) à -rw-r--r-- ; une solution qui ne nous plaisait pas non plus.
  
  Evidemment, c'est idiot d'avoir raté cette lib lorsque nous sommes passés en GPLv3. Mais, maintenant que c'est fait depuis déjà 5 mois, nous ne pouvons pas réellement retourner en arrière ; et, de toutes façons, les principes de la GPLv3 séduisent la majorité de l'équipe Claws...
  - [^] # Re: Simple question
    
    Posté par Moonz le 22 février 2008 à 08:47. Évalué à 3.
    
    > il n'arrive pas à lire les fichiers email, sauf à élargir les droits
    Pourquoi ne pas tout simplement lui envoyer le mail sur son entrée standard et lui faire vérifier /dev/stdin ? (ou passer par un FIFO dans /tmp)
    - [^] # Re: Simple question
      
      Posté par Colin Leroy (site web personnel) le 22 février 2008 à 11:39. Évalué à 1.
      
      Il n'est pas implémenté comme ça, ça ne fonctionne pas:
      
      Exemple avec une image:
      cleroy@colin:~$ clamscan 1.png
      1.png: OK
      
      ----------- SCAN SUMMARY -----------
      Known viruses: 217226
      Engine version: 0.92
      Scanned directories: 0
      Scanned files: 1
      Infected files: 0
      Data scanned: 0.44 MB
      Time: 3.165 sec (0 m 3 s)
      
      cleroy@colin:~$ clamdscan 1.png
      /home/cleroy/1.png: lstat() failed. ERROR
      
      En essayant avec l'entrée standard:
      cleroy@colin:~$ clamdscan < 1.png
      /home/cleroy: Access denied. ERROR
      
      Il essaye de scanner tout le répertoire courant et ne fait même pas attention à stdin.
      - [^] # Re: Simple question
        
        Posté par Victor le 22 février 2008 à 12:08. Évalué à 4.
        
        Et pourquoi ne pas réecrire un bout de clamscan, un executable exprès pour ça, qui puisse scanner des mails en pagaille et vite depuis la ligne de commande, et utiliser ce programme là ? :]
        
        Je suis sur que si vous le proposez à clamav, ils voudront bien l'integrer, ça peut interesser du monde !
      - [^] # Re: Simple question
        
        Posté par case42 (site web personnel) le 22 février 2008 à 16:27. Évalué à 3.
        
        Une piste comme ça qui m'a l'air d'un moindre mal:
        pourquoi ne pas lancer un clamd avec les droits de l'utilisateur au démarrage de Claws Mail? en générant un clamd.conf sécifique ça m'a l'air faisable ( en créant une socket du style /tmp/$user-clamd.sock , et tout à l'avenant...)
- [^] # Re: Simple question
  
  Posté par B16F4RV4RD1N le 22 février 2008 à 06:29. Évalué à 5.
  
  une question naïve : ça sert à quoi un antivirus qui sert à priori à détecter les virus windows, quand le système est sous linux ? C'est quand on s'échange des fichiers .doc pour éviter les macro virus ? quand on s'échange des binaires .exe ? Moi cela ne m'arrive jamais ni dans le premier cas, ni dans le second (les fichiers genre funwithbritney.exe étant systématiquement effacés et non pas transférés à mes contacts).
  Clamav permet-il de détecter des rootkit linux ?
  Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
  - [^] # Re: Simple question
    
    Posté par gpe le 22 février 2008 à 15:55. Évalué à 3.
    
    A éviter la propagation d'un virus lors d'un transfert de courriel?
  - [^] # Re: Simple question
    
    Posté par Vincent Danjean le 23 février 2008 à 08:56. Évalué à 2.
    
    Dans les entreprises, institutions, ... le mail est rarement émis par le poste de travail directement mais plutôt par un serveur mail. De même, le mail reçu l'est par un serveur (évenruellement le même) qui sotcke les messages et donne un accès par IMAP(S) (voire POP(S)).
    Dans ces conditions, avoir un antivirus au niveau de ces serveurs permet d'éviter d'envoyer et/ou recevoir trop de virus. Et ce, quelque soit l'OS des postes de travail.
    
    Autre exemple : si on fournit une redirection de mail (une série d'alias sans stockage de mail), il est important de filtrer les mails transitant par le serveur du domaine relayé sinon ce serveur risque de se faire marquer comme spammeur par les serveur SMTP auxquels il relaie ses mails.
    
    Bref, il y a tout plein de raisons d'avoir un antivirus (pour toutes les plateformes) fonctionnant sous linux.
# Re:

Posté par IsNotGood le 22 février 2008 à 08:17. Évalué à 5.

Qui veut du plugin ClamAV pour Claws Mail ?
- [^] # Re:
  
  Posté par Farzad FARID (site web personnel) le 22 février 2008 à 12:02. Évalué à -5.
  
  « Qui veut du plugin ClamAV pour Claws Mail ? »
  
  Qui veut de Claws Mail tout court ? :)
# C'est pas une grosse perte.

Posté par Gof (site web personnel) le 22 février 2008 à 09:43. Évalué à 5.

De toute façon les anti-virus c'est inutile. :-)
- [^] # Re: C'est pas une grosse perte.
  
  Posté par jihele le 22 février 2008 à 15:54. Évalué à 1.
  
  A chaque fois qu'on parle anti-virus sur un site de linuxiens on entend dire ça.
  
  Le hors-série de GLMF ne dit pas la même chose. (Certains répondront qu'il est rédigé par des gens dont c'est le métier de bosser sur des antivirus...)
  
  Je ne crois pas que ClamAV ne détecte que des virus pour windows.
  
  Je n'ai pas peur des virus sur mon PC perso de bureau sous linux et je n'utilise pas d'AV, mais rien n'empêche qu'ils existent a priori donc pourquoi dire qu'un AV ne sert à rien ? De toute façon je n'avais pas peur des virus quand mon PC était sous Windows non plus, et mon AV ne m'a jamais rien détecté. Donc c'est facile de faire le malin sans AV sous linux.
  
  Les anti-virus sous linux ne me paraissent pas inutiles pour les sites qui nécessitent le maximum de protection. D'ailleurs si je confiais des infos personnelles à une administration/entreprise sous linux et si elle se les faisait voler et si ça aurait pu être évité grâce à une protection antivirus qu'elle n'avait pas cru bon d'utiliser sous prétexte qu'un antivirus sous linux à sert à rien, je pense que je pourrais me retrourner contre cette administration/entreprise.
  
  Les anti-virus sous linux ne me paraissent pas inutiles pour les serveurs de courriel sous linux qui traitent des messages destinés au monde Windows.
  
  Mais le cas du greffon pour courrielleur est un cas particulier d'utilisation. Et le greffon ClamAV de Claws-mail ne me parraît pas indispensable, effectivement. En tout cas sur le court terme. Car dans les cas que j'ai évoqués, compte-tenu de l'état actuel des virus pour linux, c'est surtout les grosses structures qui auraient besoin d'AV, et je ne crois pas que la gestion des virus se fasse au niveau du courielleur, sur le poste utilisateur.
  - [^] # Re: C'est pas une grosse perte.
    
    Posté par IsNotGood le 22 février 2008 à 23:52. Évalué à -1.
    
    > donc pourquoi dire qu'un AV ne sert à rien ?
    
    Ça ne sert à rien sur un système bien conçu. Sur une daube comme Windows (et ce n'est pas vraiment l'OS qui est en cause mais IE, Outlook, etc) ça sert à quelque chose.
    Si un virus est possible avec un programme, la bonne solution n'est pas d'ajouter un anti-virus, mais de revoir le programme. Firefox n'autorise pas des choses qu'autorise IE car ce sont des niches à virus.
    
    > D'ailleurs si je confiais des infos personnelles à une administration/entreprise sous linux et si elle se les faisait voler et si ça aurait pu être évité grâce à une protection antivirus qu'elle n'avait pas cru bon d'utiliser sous prétexte qu'un antivirus sous linux à sert à rien
    
    Si ça ne sert à rien, ça ne va pas empêcher le vole.
    
    > Les anti-virus sous linux ne me paraissent pas inutiles pour les sites qui nécessitent le maximum de protection.
    
    Ça n'a jamais rien apporté au niveau sécurité à long terme. Les OS les plus sûr ne sont pas les OS qui ont le plus d'anti-virus. Plus un OS a besoin d'anti-virus, plus il est pourri. Évitons d'avoir besoin d'un anti-virus, ne faisons pas un OS (ou programme) pourri. Cette démarche a largement démontré sa supériorité sur la "politique" MS en terme de sécurité.
    La présence d'un anti-virus est seulement la preuve d'un OS pourri. Pour la sûreté de tes données, évites les OS qui demandent un anti-virus.
# GPLV2 pour le plugin avec exception ?

Posté par jice (site web personnel) le 22 février 2008 à 11:06. Évalué à 0.

arrêtez-moi si je dis une bêtise, mais n'est-il pas possible de diffuser le plugin sous GPLV2, avec une exception autorisant à le linker à Claws Mail ?
- [^] # Re: GPLV2 pour le plugin avec exception ?
  
  Posté par GeneralZod le 22 février 2008 à 11:28. Évalué à 4.
  
  Non, il faudrait que la licence de Claws-Mail le permette. Sinon, ce serait trop facile ...
  Sinon, peu me chaut, rien à foutre des utilisateurs de Windows. Ça m'économise du temps CPU pour des trucs plus utiles.
  
  PS: j'en profite pour saluer les développeurs de Claws-Mail pour leur excellent boulot ! :o)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.