Wie definieren wir "freie Webservices"?

[Florian Haas]

Hallo,

Johannes Näder schrieb:
> Hallo,
>
> mich würde in dem Zusammenhang interessieren, was ihr von folgendem Projekt 
> haltet:
>
> http://www.wuala.com/
>
> Dabei handelt es sich um einen (z.T. P2P-orientierten) Online-Speicher mit 
> clientseitiger Verschlüsselung, java-basierter Client-Software, WWW-Interface, 
> Sharing- und Streaming-Möglichkeit, und anonymisierter Zugriff ist ebenfalls 
> geplant. Das Programm ist nicht frei, allerdings soll die Verschlüsselung in 
> Kürze durch Offenlegung des Codes transparent gemacht werden.
>
> Damit basiert Wuala also nicht auf Freier Software. Wenn ich es aber richtig 
> verstehe, wird mit der partiellen Offenlegung für den Nutzer überprüfbar, dass 
> tatsächlich nur verschlüsselte Daten seinen Rechner verlassen. Oder besteht 
> die Gefahr, dass  - wie bei Skype - Wuala einen Masterkey besitzt? Kann das 
> ausgeschlossen werden, wenn nur die relevanten Codeteile offengelegt werden?
>   
Ich glaube, dass man die Kriterien Sicherheit und Freiheit getrennt von
einander betrachten muss. Nur, weil der Bereich für die Verschlüsselung
offen gelegt ist (womöglich nur unter einer unfreien Lizenz) ist die
Software noch lange nicht "frei" oder sicher.
Aus Sicherheitsaspekten stellt sich natürlich erstmal die Frage: ist der
Code, der veröffentlicht wird, wirklich der Code, der vom Programm
genutzt wird? Ohne die Software komplett selbst kompilieren zu können
muss man sich hier auf das Wort von Wuala verlassen. Insofern ist die
Veröffentlichung kein Sicherheitsgewinn; du musst Dich immernoch 100%ig
auf Wuala verlassen und kannst den korrekten Gebrauch von
Verschlüsselung nicht überprüfen.

Was die Freiheit angeht ist eins klar: solange es keine Möglichkeit
gibt, außschließlich mit freier Software auf Wuala zuzugreifen, ist der
Webdienst nicht frei (analog zur inzwischen nicht mehr existierenden
Java-Falle: solange die VM unfrei ist nützt mir eine GPL-te Applikation
nicht, da ich immernoch von Sun abhänge). Wenn Wuala eine Art API-Lizenz
verlangt (Zugriff auf bestimmte APIs nur nach Registrierung zB. wie bei
Akismet) würde ich auch verneinen, dass Wuala frei ist, selbst wenn der
Client komplett frei ist.
> Ist diese Frage zwingend mit der Grundsatzfrage verknüpft, ob *nur* "freie 
> Webservices" Sicherheit im Verschlüsselungsbereich bieten können, oder lassen 
> sich beide Fragen hier trennen?
>   
In meinen Augen lassen die Fragen sich trennen. PGP (die Applikation)
ist in keinster Weise frei, gilt aber trotzdem als sicher. Diesen Status
als sicher hat es, weil der komplette Quellcode verfügbar ist und
nachvollziehbar ist, dass das kompilierte Programm zum veröffentlichtem
Quellcode passt.
> Welche Probleme ergeben sich für den Anwender daraus, dass Wuala nicht frei 
> ist?
>
> Ich bin gespannt auf eure Meinungen.
>
> Beste Grüße!
> JN
> _______________________________________________
>   
Liebe Grüße,
Florian Haas

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 258 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20090223/28be985e/attachment.sig>