Фонд свободного программного обеспечения (Free Software Foundation) призвал (http://www.fsf.org/news/reoppose-tls-authz-standard) бойкотировать принятие комитетом IETF (http://ietf.org) в качестве Интернет стандарта расширений авторизации (http://tools.ietf.org/wg/tls/draft-housley-tls-authz-extns-0...) для протокола TLS (Transport Layer Security), используемого для обеспечения аутентификации и безопасной передачи данных. Проблема заключается в задействовании в TLS расширениях для авторизации ряда запатентованных (https://datatracker.ietf.org/ipr/1026/) компанией RedPhone Security (http://www.redphonesecurity.com/) технологий, что по мнению FSF является существенным аргументом против стандартизации данного протокола.
Комитет IETF будет принимать отзывы по поводу принятия TLS Authorisation в качестве стандарта до 11 февраля. FSF предлагает всем желающим отправить сообщение по адресу ietf@ietf.org с выражением своего несогласия. В будущем компания RedPhone вправе начать сбор лице...URL: http://www.fsf.org/news/reoppose-tls-authz-standard
Новость: https://www.opennet.ru/opennews/art.shtml?num=20180
И миллионы хомяков заспамили IETF....
Форсить-то надо не институт, а ту самую RedPhone, чтобы она передала патенты в открытое достояние.
>И миллионы хомяков заспамили IETF....
>Форсить-то надо не институт, а ту самую RedPhone, чтобы она передала патенты
>в открытое достояние.Если начать спамить RedPhone, то на решение IETF это никак не повлияет. Поэтому RedPhone начнёт типа думать, а в это время IETF примет TLS в кач-ве стандарта. После чего раскрытие патентов для RedPhone будет сродни рубле сука, на котором сидишь. Нет, спамить надо именно IETF, чтобы не дай бог не приняли TLS.
Люди добрые, которые грамотные! Подскажите пожалуйста юридически и грамматически правильный текст письма на буржуйском языке. С удовольствием присоединился бы к инициативе, но, к своему стыду, перефразируя известный анекдот, "на буржуйском чукча не писатель, чукча читатель".
>Люди добрые, которые грамотные! Подскажите пожалуйста юридически и грамматически правильный текст письма
>на буржуйском языке. С удовольствием присоединился бы к инициативе, но, к
>своему стыду, перефразируя известный анекдот, "на буржуйском чукча не писатель, чукча
>читатель".Поддерживаю!
Я написал так:Hello IETF,
I am very disappointed with your decision to give a chance to a patented technology (https://datatracker.ietf.org/ipr/1026/) to become a standard. Please, do not do that.
Sincerely, Name Surname.
Спасибо за помощь.
См http://www.ietf.org/rfc/rfc4677.txt пункт 8.4.5 (Patents in IETF Standards)Чтоб обоснованно сказать "патентованное — в топку", стоит упомянуть важность/неважность стандарта. Я почитал спорный черновик и не понял, чем это принципиально отличается от текущей возможности авторизации по SSL-сертификатам. Было бы здорово, если бы кто-то прокомментировал этот вопрос.
Вчитался еще — судя по всему, предлагается стандартизировать какое-то (неясно зачем нужное) расширение для проведения _авторизации_ в TLS, а по SSL-сертификатам проводится _аутентификация_.
Учитывая, что авторизация, нередко — часть бизнес-логики, мне совершенно не ясно, зачем она нужна в TLS.
>См http://www.ietf.org/rfc/rfc4677.txt пункт 8.4.5 (Patents in IETF Standards)
>
>Чтоб обоснованно сказать "патентованное — в топку", стоит упомянуть важность/неважность стандарта. Я
>почитал спорный черновик и не понял, чем это принципиально отличается от
>текущей возможности авторизации по SSL-сертификатам. Было бы здорово, если бы кто-то
>прокомментировал этот вопрос.Где-то пробегало что-то про теретическую уязвимость при авторизации по SSL.
КАК ТРИ ПАЛЬЦА ОБ АСФАЛЬТhttp://www.metacafe.com/watch/1451236/hacking_and_decrypting.../
http://www.archivum.info/lemonade@ietf.org/2007-11/msg0...
http://log.does-not-exist.org/archives/2007/10/20/2144_hackl...
http://blog.didierstevens.com/2007/10/19/pwned-hacklu/
Если есть желание писать грамотно, а оно судя по вопросу есть, то пишите как сможете.
Не знаю как в "европах", но в сев. америке редкий абориген составит письмо на уровне выше пятиклассника.
Спасибо за совет, но определенная степень бестолковости как-то удачно сочетается с определенной гордостью за продукт Made in Russia, поэтому писать абы как просто стыдно. Иначе бы уже воспользовался чем-то вроде переводчика Google.
Так меняются приоритеты. Есть такое понятие - "патриотизм". В рамках этого понятия по моему, сугубо личному, мнению в рамках данного сообщества можно признаться в своей неграмотности, а буржуям в этом признаваться не с руки. Прошу воспринимать данный пост без обычно ассоциируемой со словом "патриотизм" патетики.
>писать абы как просто стыдно.И правильно. Сочинилось такое:
Date: Mon, 9 Feb 2009 21:47:18 +0200
From: Michael Shigorin <mike/osdn.org.ua>
To: ietf/ietf.org
Subject: Re TLS AUTHZ
Cc: campaigns/fsf.org[-- PGP output follows (current time: Mon Feb 9 21:51:05 2009) --]
gpg: Signature made Mon Feb 9 21:47:18 2009 EET using DSA key ID B60C9B72
gpg: Good signature from "Michael Shigorin (UA OSS/FS group) <mike/osdn.org.ua>"
[-- End of PGP output --][-- The following data is signed --]
Hello,
I support FSF's concern regarding patent-encumbered standard
proposal on TLS auth extensions laid out here:http://www.fsf.org/news/reoppose-tls-authz-standard
Being a systems administrator and free software supporter
over the years, I don't think yielding to software patent-mining
efforts is going to do us all anything good, even if these aren't
currently recognized in my country.Thanks for years of faithful work, hope you will manage to hold
it to the same high standard.--
---- WBR, Michael Shigorin <mike/altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/[-- End of signed data --]
Чуть чуть переработал - вот мой вариант:Dear IETF committee,
Being a scientific software/hardware developer and supporter over the years,
I support Free Software Foundation concern which regards patent-encumbered
standard proposal on TLS auth extensions laid out here:http://www.fsf.org/news/reoppose-tls-authz-standard
Momentary benefits of using patented technologies in any standards likely
will become a disaster for applying it in reality and potential violation of
country's and international law or even patent-holder rigths.Thank you for the years of faithful work, I hope you will manage to hold
it to the same high standard.--
Best regards,
...
А меж тем, обнаружил сегодня в ящике :Thank you for being part of a crowd of hundreds of people who have mailbombed
the mailboxes of thousands of IETF 'members' (since we don't have any formal
membership, just an email list). As a result, we all have such positive
feeling about the FSF.Noel
Noel Chiappa <jnc(собак)mercury.lcs.mit.edu>
>А меж тем, обнаружил сегодня в ящике :В спам, что ли, угодило...
>As a result, we all have such positive feeling about the FSF.
Надеюсь, они подумают ещё и всё-таки додумаются.
странно только что сама IETF этот факт не отследила. Они что, просто не глядя за небольшую плату стандарты пекут?
а вот что случится, если они таки примут этот стандарт ?
неужели тогда ни из линукса, ни из *bsd, ни из опенсоляриса в инет лазить будет нельзя ?
кто в теме, обьясните пожалуйста в чём суть дела, я в сетевых технологиях слабо разбираюсь.
примерно то-же что в свое время случилось с GIF и привело к разработке PNG. Контора- патентовладелец вправе потребовать роялти за использования ПО где реализованы запатентованные ими технологии. И наверняка потребуют (хотя всякое в жизни бывает...).
> а вот что случится, если они таки примут этот стандарт ?Ну хороший пример - включение видеокодеков в дистрибутивы.
> неужели тогда ни из линукса, ни из *bsd, ни из опенсоляриса в инет лазить будет нельзя ?лазить будет можно, но:
1) могут начаться проблемы у работающих в различных корпоративных сетях. Это сразу поставит под угрозу возможность использования FOSS ОС в таких сетях.
2) многие коммерческие сервисы в интернет, где требуется безопасное соединение, могут стать недоступны.
П.2 для РФ может еще и прокатит, а вот п.1 может и у нас многие конторы напрячь.
Будте так добры объяснить, ведь стандарт это одно, а его применение это уже другое. Можно его и не применять. Или применять но не для каждого свой, а стандарт. В чем проблема то?
>В чем проблема то?В интероперабельности.
Чтобы народ понимал важность расширений TLS.Представьте ситуацию:
Есть веб сервер с одним ip адресов.
На веб сервере есть несколько виртуальных хостов.
У каждого виртуального хоста свой домен второго уровня.
Вот клиент подключается по протоколу https.
Сначала идет подключение на TCP порт 443, установление TCP соединения.
Потом идет установление SSL соединения.
Серверу нужно выслать SSL сертифиат.Внимание, вопрос!
Сертификат какого виртуального хоста (т.е. какого домена) ему выдавать?
Сервер не знает, на какой домен стучится клиент.
Он это узнает только послу установления SSL соединения, по которому уже пойдет запрос клиента.Это вопрос из разряда "что было раньше, курица или яйцо?".
Насколько я понимаю, TLS решает ситуацию с несолькими https виртуальными хостами на одном ip адресе.
Поэтому этот стандарт имеет некоторую важность.
Особенно в свете тенденции браузеров не пускать на сайт, если сертификат косячный.
Поправьте, если ошибаюсь.
>Есть веб сервер с одним ip адресов.А как же IPv6 и http://www.youtube.com/watch?v=_y36fG2Oba0 ? =)
>Поправьте, если ошибаюсь.
Во-первых, для виртуального хостинга с ssl давным давно RFC2817 (starttls для http), который массово игнорируется разработчиками.
Во-вторых, вот тут http://wiki.cacert.org/wiki/VhostTaskForce есть куча информации на эту тему.Как я понимаю authz-tls не имеет ничего общего с виртуальным хостингом.
>А как же IPv6
>http://netch.livejournal.com/tag/ipv6Про IPv6 с моей стороны была, видимо не очень удачная, шутка. А за информацию спасибо — довольно интересно почитать.
Чем все решилось?