|
| Krypeting / (ingen) eksportering Fra : Tom |
Dato : 24-09-10 01:52 |
|
Hej,
Hvis jeg har noget software som skal kunne crawle
websider (https) helt lige som alle mulige internet
browsere osv. "ser" og "åbner" https sider.
Nogle af mine brugere har så nogle website som
bruger https som de også gerne vil have crawlet.
Fair nok, og for alle almindelige brugere har det jo
været standard i sidste 10 år eller mere. Alle operativ
systemer osv. kommer jo med kryptering indbygget...
....
Jeg har umiddelbart tænkt mig gøre sådan min
software blot kan benytte sig af OpenSSL
(tror det er hvad man ville kalde "hooks")
såfremt brugeren selv har downloadet og installeret
OpenSSL. Dette ville tillade min software at kunne
"se" og "åbne" https sider ligesom almindelige http.
....
Men altså hvad er status på det her område?
Det er jo ikke sådan jeg på nogen måde eksportere
noget krypterings kode s.v. jeg kan vurdere, men altså...
mvh
Thomas
| |
Jet (24-09-2010)
| Kommentar Fra : Jet |
Dato : 24-09-10 01:13 |
|
On 24 Sep., 03:51, "Tom" <t...@example.com> wrote:
> Hej,
>
> Hvis jeg har noget software som skal kunne crawle
> websider (https) helt lige som alle mulige internet
> browsere osv. "ser" og "åbner" https sider.
>
> Nogle af mine brugere har så nogle website som
> bruger https som de også gerne vil have crawlet.
> Fair nok, og for alle almindelige brugere har det jo
> været standard i sidste 10 år eller mere. Alle operativ
> systemer osv. kommer jo med kryptering indbygget...
>
> ...
>
> Jeg har umiddelbart tænkt mig gøre sådan min
> software blot kan benytte sig af OpenSSL
> (tror det er hvad man ville kalde "hooks")
> såfremt brugeren selv har downloadet og installeret
> OpenSSL. Dette ville tillade min software at kunne
> "se" og "åbne" https sider ligesom almindelige http.
>
> ...
>
> Men altså hvad er status på det her område?
> Det er jo ikke sådan jeg på nogen måde eksportere
> noget krypterings kode s.v. jeg kan vurdere, men altså...
>
> mvh
> Thomas
kan du ikke give et link til en site der har det du fremstiller ?
| |
Jet (24-09-2010)
| Kommentar Fra : Jet |
Dato : 24-09-10 01:16 |
|
On 24 Sep., 03:51, "Tom" <t...@example.com> wrote:
> Hej,
>
> Hvis jeg har noget software som skal kunne crawle
> websider (https) helt lige som alle mulige internet
> browsere osv. "ser" og "åbner" https sider.
>
> Nogle af mine brugere har så nogle website som
> bruger https som de også gerne vil have crawlet.
> Fair nok, og for alle almindelige brugere har det jo
> været standard i sidste 10 år eller mere. Alle operativ
> systemer osv. kommer jo med kryptering indbygget...
>
> ...
>
> Jeg har umiddelbart tænkt mig gøre sådan min
> software blot kan benytte sig af OpenSSL
> (tror det er hvad man ville kalde "hooks")
> såfremt brugeren selv har downloadet og installeret
> OpenSSL. Dette ville tillade min software at kunne
> "se" og "åbne" https sider ligesom almindelige http.
>
> ...
>
> Men altså hvad er status på det her område?
> Det er jo ikke sådan jeg på nogen måde eksportere
> noget krypterings kode s.v. jeg kan vurdere, men altså...
>
> mvh
> Thomas
kan du ikke give et link til en site der har det du fremstiller ?
| |
Tom (24-09-2010)
| Kommentar Fra : Tom |
Dato : 24-09-10 16:32 |
|
> kan du ikke give et link til en site der har det du fremstiller ?
Tja tjo, mener du min software?
http://www.microsystools.com/products/sitemap-generator/
Mener det kunne jo være alle programmer:
website analyse værktrøjer, internet browsere
(nok faktisk det bedste eksempel) bla bla bla mange typer
af værktøjer som skal kunne kommunikere med https
Hvis du mener OpenSSL: http://www.openssl.org/
Jeg kan også undersøge hvad Windows har af
crypto API'er, men det bliver bare noget bøvl for den
HTTP kommunikations løsning jeg bruger kan kun bruge
OpenSSL. Men altså, går det *helt* i ragnerok, så er jeg
selvfølgelig bare nødt til bruge hvad end der er leveret på
den givne Windows. Der er også API for HTTP(s) så okay.
mvh
Thomas
| |
Tom (27-09-2010)
| Kommentar Fra : Tom |
Dato : 27-09-10 05:04 |
|
> Hvis jeg har noget software som skal kunne crawle
> websider (https) helt lige som alle mulige internet
> browsere osv. "ser" og "åbner" https sider.
Håber der er nogen her som ved om det lovligt i Danmark
at lave og distribuere software som, hvis brugeren
selv downloader det nødvendige, kan koble sig på https?
Fx når du handler over Amazon og *alle* andre
online butikker skifter jeres internet browser om til
https (http secure) for kunne lave fx sikre betalinger
Der er egentligt intet specielt over den slags,
men fx USA har (haft?) hårde love om at man
som USA statsborger ikke må ekspotere
kryptografi på nogen måde (Bare synd for
dem resten af verdenen så ikke fulgte efter)
Kunne være rart hvis nogle vidste noget, evt. bare
hvor skulle kigge / hvem spørge :) Jeg *tror* det
fuldt lovligt i Danmark og EU. Jeg en lille bitte
smule usikker på USA selvom s.v. jeg forstår...
Er det nok lovligt hele vejen igennem.
(Båede for mig og slutbrugere)
mvh
Thomas
| |
Peter Knutsen (28-09-2010)
| Kommentar Fra : Peter Knutsen |
Dato : 28-09-10 08:35 |
|
On 27/09/2010 06:04, Tom wrote:
[...]
> Der er egentligt intet specielt over den slags,
> men fx USA har (haft?) hårde love om at man
> som USA statsborger ikke må ekspotere
> kryptografi på nogen måde (Bare synd for
> dem resten af verdenen så ikke fulgte efter)
[...]
USAnsk lovgivning begrænser da vistnok kun *stærk* kryptografi, altså
den slags der tager lang tænketid at bryde.
Bl.a. er jeg ret sikker på at hvis du bor i USA, og sender en email til
en udlænding, hvori du redegør fuldt ud for metoden bag Julius Cæsars
C+3 krypteringsmetode, og FBI eller NSA (eller hvem det nu er der har
det job) opsnapper din mail, så sker der overhovedet ingenting.
--
Peter Knutsen
| |
Tom (28-09-2010)
| Kommentar Fra : Tom |
Dato : 28-09-10 14:48 |
|
Hej Peter,
> USAnsk lovgivning begrænser da vistnok kun *stærk* kryptografi, altså den
> slags der tager lang tænketid at bryde.
Det er https (SSL) jo også.
mvh
Thomas
| |
Tom (28-09-2010)
| Kommentar Fra : Tom |
Dato : 28-09-10 15:56 |
|
En lille opfølgning,
Men https er HTTP + SSL og det som krypterer
dine data sendt imellem dig og websiden.
Eller når du laver et "login" til en webside for
derefter fx kunne se hvad du købt før eller tilgå
services eller hvad nu.
Det er dog vist ikke så skidt for USA vist mest
bekymret om eksport af "USA" krypterings teknologi
så tror ikke nødvendigivis det er et problem sålænge
ens software knytter sig til noget Europæisk
Men ærligt talt, jeg er ikke en advokat, og jeg
har svært ved finde nogle gode diskussioner
om det på nettet. Og selv hvis jeg var typen
der ville "seek legal counsel", så ville det
være rart at kunne begrænse spørgsmålet lidt
på forhånd. Ikke sådan min software indtjener
det helt ville at det kan betale en advokat for 100
timers arbejde grave alt muligt info frem hehe :)
mvh
Thomas
| |
Jesper Lund (27-09-2010)
| Kommentar Fra : Jesper Lund |
Dato : 27-09-10 16:44 |
|
Tom wrote:
> HÃ¥ber der er nogen her som ved om det lovligt i Danmark at lave og
> distribuere software som, hvis brugeren selv downloader det nødvendige,
> kan koble sig på https?
Ingen restriktioner i Danmark.
--
Jesper Lund
| |
Kim Ludvigsen (28-09-2010)
| Kommentar Fra : Kim Ludvigsen |
Dato : 28-09-10 16:49 |
|
Tom skrev::
> Det er jo ikke sådan jeg på nogen måde eksportere
> noget krypterings kode s.v. jeg kan vurdere, men altså...
Der er intet problem i dette tilfælde. Tidligere blev
128-bit-kryptering betragtet om stærk kryptering i USA
(grænsen var vist 64-bit), men der blev lempet på reglerne i
sidste halvdel af 90'erne, da man kunne indse det vanvittige
i begrænsningen.
Det vanvittige blev ikke mindst synligt, fordi man ikke
måtte eksportere programmet PGP. Men ytringsfriheden gjorde
det muligt at udgive programmets kildekode på tryk, og den
måtte gerne eksporteres. I udlandet benyttede man så OCR til
at gendanne den binære kode.
--
Mvh. Kim Ludvigsen
Undgå virus og andet snavs på computeren:
http://pc-sikkerhed.dk
| |
Tom (28-09-2010)
| Kommentar Fra : Tom |
Dato : 28-09-10 18:13 |
|
Hej Kim,
> Der er intet problem i dette tilfælde. Tidligere blev 128-bit-kryptering
> betragtet om stærk kryptering i USA (grænsen var vist 64-bit), men der
> blev lempet på reglerne i sidste halvdel af 90'erne, da man kunne indse
> det vanvittige
Okay, det lyder lovende! :)
Dog lidt forvirrende da OpenSSL.org selv skriver:
"
This software package uses strong cryptography, so even if it is created,
maintained and distributed from liberal countries in Europe (where it is
legal to do this), it falls under certain export/import and/or use
restrictions in some other parts of the world.
PLEASE REMEMBER THAT EXPORT/IMPORT AND/OR USE OF STRONG CRYPTOGRAPHY
SOFTWARE, PROVIDING CRYPTOGRAPHY HOOKS OR EVEN JUST COMMUNICATING TECHNICAL
DETAILS ABOUT CRYPTOGRAPHY SOFTWARE IS ILLEGAL IN SOME PARTS OF THE WORLD.
SO, WHEN YOU IMPORT THIS PACKAGE TO YOUR COUNTRY, RE-DISTRIBUTE IT FROM
THERE OR EVEN JUST EMAIL TECHNICAL SUGGESTIONS OR EVEN SOURCE PATCHES TO THE
AUTHOR OR OTHER PEOPLE YOU ARE STRONGLY ADVISED TO PAY CLOSE ATTENTION TO
ANY EXPORT/IMPORT AND/OR USE LAWS WHICH APPLY TO YOU. THE AUTHORS OF OPENSSL
ARE NOT LIABLE FOR ANY VIOLATIONS YOU MAKE HERE. SO BE CAREFUL, IT IS YOUR
RESPONSIBILITY.
"
Men uanset... Da min software
1) kræver folk selv downloader OpenSSL (hvis de ønsker det)
2) højst har et "hook" til bruge almindelig https/SSL
(jeg stadigvæk ikke 100% sikker på hvad definitionen af "hook" er her)
så burde jeg være home free uanset hvad?
....
Da jeg ikke selv distributerer OpenSSL vil i så mene
jeg behøver tilføje alt ovenstående tekst til en licens fil?
Jeg kan se nogle programmer der selv distribuerer
OpenSSL med i deres program råkopierer ovenstående
tekst og så tilføjer at brugerne selv checkke legality.
Jeg går ud fra det en slags ansvarsfraskrivelse?
Jeg kan for så vidt bare gøre det samme, men ville
bare lige høre.
....
I mit program har jeg intil videre lavet links til hvor
brugere kan downloade OpenSSL (officielle / kendte)
og så et "check box" hvor de skal chekke at
OpenSSL cryptography (algorithms, patents, importing etc.)
er lovligt i deres "jurisdiction"
Så burde jeg heller ikke derigennem kunne udsættes
for klager eller problemer?
mvh
Thomas
| |
Kim Ludvigsen (28-09-2010)
| Kommentar Fra : Kim Ludvigsen |
Dato : 28-09-10 22:21 |
|
Tom skrev::
>
> Okay, det lyder lovende! :)
>
> Dog lidt forvirrende da OpenSSL.org selv skriver:
De nævner ikke specifikke lande, mit svar gik specifikt på
USA. Andre lande kan have strammere love. På et tidspunkt
var det vist stort set forbudt at bruge kryptering i Frankrig.
Mit gæt er, at du vil være sikker, når du ikke selv
distribuerer OpenSSL, men det er udelukkende et gæt. Med
hensyn til licensen, så behøver du ikke nævne den. Den
følger med OpenSSL, og så må brugerne læse og tage stilling
til den der.
Hvis du vil distribuere OpenSSL, så vil licensbetingelserne
ganske givet sige, at du skal formidle selvsamme betingelser
sammen med dit program. Hvilket altså er årsagen til, at de
andre gør det, som du har bemærket. Det er ikke en
ansvarsfraskrivelse, men et normalt krav, når man
distribuerer open source.
Læs betingelserne grundigt, hvis du vil distribuere OpenSSL.
Nogle open source-programmer kræver, at de kun distribueres
sammen med programmer, der benytter samme eller en lignende
licens.
--
Mvh. Kim Ludvigsen
Lav flotte mosaikbilleder med det gratis program Centarsia
http://kimludvigsen.dk/programmer-multimedia-centarsia.php
| |
Tom (29-09-2010)
| Kommentar Fra : Tom |
Dato : 29-09-10 01:16 |
|
Hej Kim,
> Læs betingelserne grundigt, hvis du vil distribuere OpenSSL.
Jeg har ikke tænkt mig distribuere OpenSSL (!)
(Og jeg akkreditere uanset idet deres licens også nævner
de vil have det blot ens program kan "use" OpenSSL.
Men det er ikke nogen stor sag, det gør jeg bare uanset
selvom jeg ikke distribuerer OpenSSL selv)
> Mit gæt er, at du vil være sikker, når du ikke selv distribuerer OpenSSL,
> men det er udelukkende et gæt.
Udelukkende det med "hook" som står tilbage.
(Men det i hvert fald ikke nogen sag i Danmark! Og
næppe heller USA i forhold til hvad folk skriver her!)
> andre gør det, som du har bemærket. Det er ikke en ansvarsfraskrivelse,
> men et normalt krav, når man
Tænke bare det kunne være en slags ansvars fraskrivelse
for hvis ens brugere downloade OpenSSL imod deres
lands egen lovgivning.
Altså ligesom de historier med amerikaneren som
sagsøgte fordi han spildte varm kaffe udover sig selv :)
Men uanset, idet mit program
helt nægter bruge OpenSSL undtagen hvis:
1) brugeren selv skal downloade OpenSSL
2) brugeren selv klikker han ønsker bruge OpenSSL
3) brugeren selv klikker det er 100% legalt for ham at bruge OpenSSL
Så er det nok godt nok :)
mvh
Thomas
| |
Tom (29-09-2010)
| Kommentar Fra : Tom |
Dato : 29-09-10 01:38 |
| | |
|
|