Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 96
Я думаю «обновление» до более старой версии запущено не случайно, как и удаление бинарников. Значит есть что скрывать, всё-таки.
могут сослаться (обоснованно) на наличие уязвимостей/багов в новой версии 1.15
Они вроде так и сделали. Причем говорят, что версия 1.15 начала стабильно крашить, но со своим сервером это несложно.
версия 1.15 начала стабильно крашить, но со своим сервером это несложно
Какбэ подозреваете mail.ru в преднамеренных «закладках» в клиенте? :-D
Тю, да просто знать свои баги и удачно кривой пакет прислать.
И я не подозреваю, просто говорю, что спровоцировать краш своего приложения используюя свой сервер несложно :)
И я не подозреваю, просто говорю, что спровоцировать краш своего приложения используюя свой сервер несложно :)
прям как неумелая сборка миранды :)
Поню краши только так сыпались
Поню краши только так сыпались
Слишком много совпадений… вину их это конечно не доказывает, но это как минимум странно. Если бы мы говорили о гугле к примеру…
Ну и тут не факт что сами Mail.ru в этом виноваты, с ихней стороны было бы крайне глупо так подставляться.
А вот вариант, что какой-то программист сейчас получает конкретных бамбулей, исключать нельзя.
А вот вариант, что какой-то программист сейчас получает конкретных бамбулей, исключать нельзя.
Они уже утверждали, что ничего такого не делали…
Так что поздновато валить на программиста…
Так что поздновато валить на программиста…
Ну, вы разве не знаете как это бывает в больших компаниях?
Руководство что, в код смотрит? Первым делом отнекиваются, а потом разбираются во всем и выписывают кому попало :)
Руководство что, в код смотрит? Первым делом отнекиваются, а потом разбираются во всем и выписывают кому попало :)
Ну тут уже по-моему далеко не один программист только «впрягся» в обсуждение независимости кода, так что уже не так просто будет…
Как минимум можно было ответить «Мы проведем проверку. Руководство не давало указаний разработчикам использовать код других проектов.». Но был получен ответ от пресс-атташе Mail.Ru, что код полностью их. Так же, насколько я понял, основной разработчик отписался в своем блоге (http://blogs.mail.ru/corp/nikiforov/1A3A43B5570D0DD.html) в не совсем корректной форме сообщение, где так же заявляет что все написали сами. Далее, в первом сообщении никто не обвинял mail.ru, было только высказано подозрение в том, что очень уж похоже поведение агента и миранды. Но это было расценено как обвинение.
Как всегда корпорации плюют на опен-сорц разработчиков и сообщество, пользуясь результатами их труда без какой-либо отдачи
Ну примерно как пользователи плюют на лицензии и правообладателей, пользуясь результатми их труда без оплаты :)
на костер таких.
В случае с данным анрушением всё даже намного интереснее — человек получает деньги за то, чего он не писал…
>lНу примерно как пользователи плюют на лицензии и правообладателей, пользуясь результатми их труда без оплаты :)
И что, Вы считаете это оправданием нарушения лицензий компаниями?
А «плюющих» пользователей довольно успешно таскают по судам, выписывают нехилые штрафы, и даже сроки дают (в основном условно, но всё же). JFYI.
И что, Вы считаете это оправданием нарушения лицензий компаниями?
А «плюющих» пользователей довольно успешно таскают по судам, выписывают нехилые штрафы, и даже сроки дают (в основном условно, но всё же). JFYI.
после публикации на хабре заметок о миранде vs мейлру www.securitylab.ru/news/367764.php
Но главное что после обсуждения этого вопроса на хабре товарищи из майл.ру «зачесались»…
а свалят все ведь на «недобросовестного программиста» в итоге… мол без ведома взял и использовал…
кстати, кто-то видел официальные пресс-релизы мейла по этому поводу???
РБК уже подхватило — cnews.ru/news/top/index.shtml?2009/02/05/336997
кстати, кто-то видел официальные пресс-релизы мейла по этому поводу???
РБК уже подхватило — cnews.ru/news/top/index.shtml?2009/02/05/336997
это еще раз подтверждает какая mail.ru хорошая компания!
Свалить уже просто так не получится, т.к. официальные представители Mail.Ru давали уже «официальные комментарии». При этом доказывая, что сами убедились в том, что факта использования кода Миранды нет и быть не могло…
Так что если свалят — то на отдел мобильной разработки вместе взятый…
Со всеми вытекающими…
Так что если свалят — то на отдел мобильной разработки вместе взятый…
Со всеми вытекающими…
А писали же, что, например, программистам из Microsoft запрещается читать исходные коды открытых приложений, дабы чего не взяли оттуда.
«Стоит отметить, что в ICQ-протоколе в мобильных версиях Mail.Ru Агента есть функция «маскировки» под разные клиенты (это востребовано пользователями), так что наш инстант-мессенджер может часто «распознаваться» как другие программы. При чем здесь копирование кода — не очень понятно», — добавила Анна Артамонова» (Директор по маркетингу и PR Mail.Ru)
Цирк на конной тяге.
Цирк на конной тяге.
как раз концепция NTLM очень даже подходит для реализации отправления caps
Объясните мне, тёмному, как же она относится к client capabilities, которые нужны для идентификации списка поддерживаемых клиентом функций протокола? :)
промахнулся с местом ответа
ну прошу прощения :) я ошибался
А собственно почему нельзя аутентифицироваться посредством ntlm, если и сервер, и клиент поддерживают протокол? Неужели без windows его использовать запрещено?
Busted!!!
Если код миранды действительно используется в агенте, то это довольно просто доказать, модифицируя содержимое экзешника в указанных стрингах и проверяя изменяются ли отправляемые данные…
Кстати, инсталлятор агента подписан цифровой подписью от Symbian, так что доказать, что его поменяли на стороне (к примеру, недобросовестные кодеры из миранда-тим) будет довольно проблематично :)
Кстати, инсталлятор агента подписан цифровой подписью от Symbian, так что доказать, что его поменяли на стороне (к примеру, недобросовестные кодеры из миранда-тим) будет довольно проблематично :)
Мне тут сложно что-то добавить. В ассемблере ARM я не силен. Можно конечно кое-как адаптировать соответствующий код Miranda для компиляции под ARM и сравнивать полученные куски, но думаю, что это не очень эффективно. Оснований для подозрения в воровстве кода уже вполне достаточно.
На мой взгляд возможны следующие действия со стороны mail.ru:
— Свалить всю вину на какого-нибудь разработчика и:
— Вообще убрать поддержку jabber
— Честно переписать спорный код
— Убрать или изменить соответствующие константы, что на первый взгляд будет скрывать часть доказательств, но в этом случае основанием для подозрения будет результат сравнения с дампом беты.
— Открыть свой продукт под GPL
— Продолжать стоять на своем, надеясь что до суда дело не дойдет. Но в этом случае они как минимум испортят себе репутацию.
Конечно плохо, что это было обнаружено так быстро, еще до того, как они выпустили финальную версию на официальном сайте. С другой стороны их представитель сделал тут официальное заявление и сам дал ссылку на соответствующую новость в блоге разработчика.
Лучшем вариантом развития событий будет конечно выпуск всего продукта под GPL. Вообще от этого mail.ru ничего не потеряет, а скорее наоборот, восстановит репутацию среди достаточно активной части сообщества, а так же возможно обзаведется новыми бесплатными разработчиками :) Тем более их продукт бесплатный, не содержит рекламы, а фактически сам является рекламой других сервисов mail.ru.
Убрав поддержку или переписав код, все равно как-то придется договариваться с авторами Miranda.
На мой взгляд возможны следующие действия со стороны mail.ru:
— Свалить всю вину на какого-нибудь разработчика и:
— Вообще убрать поддержку jabber
— Честно переписать спорный код
— Убрать или изменить соответствующие константы, что на первый взгляд будет скрывать часть доказательств, но в этом случае основанием для подозрения будет результат сравнения с дампом беты.
— Открыть свой продукт под GPL
— Продолжать стоять на своем, надеясь что до суда дело не дойдет. Но в этом случае они как минимум испортят себе репутацию.
Конечно плохо, что это было обнаружено так быстро, еще до того, как они выпустили финальную версию на официальном сайте. С другой стороны их представитель сделал тут официальное заявление и сам дал ссылку на соответствующую новость в блоге разработчика.
Лучшем вариантом развития событий будет конечно выпуск всего продукта под GPL. Вообще от этого mail.ru ничего не потеряет, а скорее наоборот, восстановит репутацию среди достаточно активной части сообщества, а так же возможно обзаведется новыми бесплатными разработчиками :) Тем более их продукт бесплатный, не содержит рекламы, а фактически сам является рекламой других сервисов mail.ru.
Убрав поддержку или переписав код, все равно как-то придется договариваться с авторами Miranda.
Mail.ru и репутация… Вы уверены, что стоит употреблять эти имена в связке?
Разрешить проблему просто «убрав поддержку» уже нельзя. Факт нарушения — был. Даже если они уберут «заимствованный» код и перепишут всё сами — факт использования и распространения (с нарушением GPL) — был. Поэтому основания для иска будут даже в том случае, если они уберут отовсюду старые бинарники и даже если принудительно обновят клиентов всем юзерам поголовно.
Бинарник с нарушениями есть много у кого (включая пострадавшую сторону).
P.S.: да, я уверен, что заимствование имело место быть.
Бинарник с нарушениями есть много у кого (включая пострадавшую сторону).
P.S.: да, я уверен, что заимствование имело место быть.
ну, погуглив… я нашёл описание и насколько хватает моего знания английского, там написано следующее:
NTML реализует респонс-ответ механизм для аутентификация, в которой клиент способен идентифицировать себя не посылая пароль на сервер.
Он состоит из 3 запросов, которые обобщены как: Тип1 (согласование), Тип2 (вызов) и Тип3 (аутентификация), в основном это работает так:
1. Клиент посылает серверу запрос типа 1, который главным образом содержит список возможностей, поддерживаемых клиентом и запрашиваемых на сервере.
2. Сервер даёт ответ типа 2 который содержит список возможностей поддерживаемых и согласованных им.
ну и так далее…
оригинал здесь.
NTML реализует респонс-ответ механизм для аутентификация, в которой клиент способен идентифицировать себя не посылая пароль на сервер.
Он состоит из 3 запросов, которые обобщены как: Тип1 (согласование), Тип2 (вызов) и Тип3 (аутентификация), в основном это работает так:
1. Клиент посылает серверу запрос типа 1, который главным образом содержит список возможностей, поддерживаемых клиентом и запрашиваемых на сервере.
2. Сервер даёт ответ типа 2 который содержит список возможностей поддерживаемых и согласованных им.
ну и так далее…
оригинал здесь.
Так а причем тут capabilities? :)
Есть один нюанс…
NTLM (NT LAN Manager) создан Майкрософтом для работы в винде, и использует оно данные учётной записи windows для идентификации где-либо… Мобbльный телефон с симбианом в эту картину ну никак не вяжется…
NTLM (NT LAN Manager) создан Майкрософтом для работы в винде, и использует оно данные учётной записи windows для идентификации где-либо… Мобbльный телефон с симбианом в эту картину ну никак не вяжется…
Впрочем да, при желании можно вычислить хэш и вручную.
Надеюсь, меил.ру всё таки выложит исходники под GPL. Буду ждать первого форка с отрезанным протоколом меил-агента.
а в суд реально такое дело довести? а нада ли кому это?
Реально. Только обычно дела связанные с нарушением GPL до суда не доходят. Компании предпочитают договариваться. А с частными лицами, особенно находящимися в других странах, судится другие частные лица как правило не хотят.
А есть ли в России вообще судебная практика по делам о нарушении GPL? По периодичности поднятия вопроса о статусе этой лицензии на территории РФ можно судить, что данная лицензия пока еще не действенна в России, потому как нет официальной ее версии на руссуом языке.
По поводу действительности GPL. Есть код, у него есть автор или несколько авторов, код попадает под защиту 4-ой части ГК РФ. Если кто-то нарушил GPL и при этом попытается доказать ее недействительность, тем самым он будет доказывать недействительность единственного разрешения на основе которого мог использовать этот код. В общем если GPL не действительна, то код автоматически не становится общественным достоянием, у него все равно есть авторы. А по тому же ГК РФ «Правообладатель может по своему усмотрению разрешать или запрещать другим лицам использование результата интеллектуальной деятельности или средства индивидуализации. Отсутствие запрета не считается согласием (разрешением).».
Для любителей пофлудить на тему нормативно-правовых актов, могу сказать, что не все разработчики мирандового жаббера живут в РФ :)
Доказать недействительность GPL — это сильно :) Лицензия достаточно распространенная, официально заверенных переводов должно быть полно.
майл спалился по полной )
Ну а в принципе-то, неужели открытие кода Майл.ру Агента является таким уж плохим ходом для mail.ru? Будет выложен исходный код Агента, будет больше людей, заинтересованных в его продвижении, в написании модов.
А как же признание собственной ошибки? ;)
В сложившейся ситуации как признание, так и отрицание ситуацию не исправит. Чтобы вернуть доверие надо будет им серьезно поработать, если конечно mail.ru заинтересованы в этом.
Доверие? Вот тут есть ссылка на забавную историю с mail.ru и Стилавиным. :)
Имхо, если они признают «собственную ошибку» (в кавычках потому, что я ошибки не вижу… нарушение есть, а ошибок нет), это им будет очень хорошим пиаром. Люди любят такие шумихи ;)
Сам не в курсе, потому и спрашиваю — неужели так легко портировать код с WindowsAPI на Symbian?
Ни дня без лажи от mail.ru или AOL!
Необходимо зафиксировать момент релиза версии 1.15 со стороны mail.ru + сохранить дистрибутив конкректно этого релиза. Причем сделать это максимально официально. Думаю надо обезопасить себя от «отмазок» используя какой-либо крупный IT-ресурс, который возьмет на себя дистрибуцию сборки 1.15 до выяснения обстоятельств + собрать все существующие факты о выходе.
Вполне возможно, что будет фраза «модифицированный клиент» и т.д., «сравните хэши, мы релизили другую версию».
Надеюсь что в ближайшее время появится аргументирование на всех уровнях. Главное максимально официально зафиксировать факт выхода бета-версии MRA.
С уважением.
Вполне возможно, что будет фраза «модифицированный клиент» и т.д., «сравните хэши, мы релизили другую версию».
Надеюсь что в ближайшее время появится аргументирование на всех уровнях. Главное максимально официально зафиксировать факт выхода бета-версии MRA.
С уважением.
Вышла новая версия, 1.16. Размер джабер библиотеки как не трудно догадаться уменьшился. Похоже убрали вывод отладочной информации, все перечисленные выше строковые константы в новой версии отсутствуют.
Ну ещё одно подтверждение того, что «оно» имело место быть…
Поправили баги так, что аж размер бинарника уменьшился… Видно большая работа, а версия сменилась лишь на единицу… ;)
Поправили баги так, что аж размер бинарника уменьшился… Видно большая работа, а версия сменилась лишь на единицу… ;)
Ну это все равно не отменяет факта публикации версии 1.15 (гуглокэш). И как говорили выше, файл подписан сертификатом Mail.Ru с подписью Nokia/Symbian.
Этот факт надо фиксировать нотариально, да и сертификат боюсь не аргумент, вряд ли он выдан сертифицированным ФСБ центром
Минусовали за «ФСБ»? :)
Может просто не в курсе, что юридически значимыми (без дополнительных соглашений) в России являются подписи, соответствующие Закону об ЭЦП, а согласно этому закону софт должны быть проверен, а его разработчик и УЦ лицензирован «уполномоченным органом», которым в данный момент является ФСБ (раньше было ФАПСИ).
Насчет «нотариально» тоже, ссылки на гуглокэш (которые к моменту судебного разбирательства вполне могут оказать битыми) к делу не пришьешь, но уже отработана процедура по фиксации «виртуальных» вещественных доказательств. если, например, ваше авторское право нарушили выкладыванием вашего контента на «левом» сайте без вашего разрешения, то скорее бегите к нотариусу и просите его распечатать ваш контент на этом сайте и удостоверить, что это распечатка была сделана такого-то числа с такого-то урла — вот вам «вещдок», который суду будет очень сложно не принимать во внимание. особенно если вы сумеете доказать свое авторство на этот контент, скажем аналогичной нотариально заверенной копией своего сайта.
Может просто не в курсе, что юридически значимыми (без дополнительных соглашений) в России являются подписи, соответствующие Закону об ЭЦП, а согласно этому закону софт должны быть проверен, а его разработчик и УЦ лицензирован «уполномоченным органом», которым в данный момент является ФСБ (раньше было ФАПСИ).
Насчет «нотариально» тоже, ссылки на гуглокэш (которые к моменту судебного разбирательства вполне могут оказать битыми) к делу не пришьешь, но уже отработана процедура по фиксации «виртуальных» вещественных доказательств. если, например, ваше авторское право нарушили выкладыванием вашего контента на «левом» сайте без вашего разрешения, то скорее бегите к нотариусу и просите его распечатать ваш контент на этом сайте и удостоверить, что это распечатка была сделана такого-то числа с такого-то урла — вот вам «вещдок», который суду будет очень сложно не принимать во внимание. особенно если вы сумеете доказать свое авторство на этот контент, скажем аналогичной нотариально заверенной копией своего сайта.
Интересно как там с miranda.org/caps?
С нетерпением ждём развязки этой истории :)
В мэйлагенте кроме прочего использован открытый код 7-zip
LZMA SDK, если не ошибаюсь, идет под LGPL
LGPL конечно более мягкая лицензия, но все равно налагает некоторые ограничения. Во-первых к продукту должен быть приложен текст самой лицензии. Во-вторых LGPL библиотека должна быть заменяемой. Т.е. у пользователя должна быть возможность заменить LGPL библиотеку на новую версию. Это фактически запрет на статическую линковку. Статическая линковка с LGPL библиотекой разрешена только при выполнении одного из условий, это либо открытый доступ к исходникам, неважно под какой лицензией, главное что бы она не запрещала компилировать исходники, либо предоставление объектных файлов, что бы пользователь мог самостоятельно производить линковку. А вот отдельной библиотеки, не говоря уже про текст LGPL я не вижу. Хотя точно сказать, что в продукте есть LGPL код не могу, но я его и не искал :)
www.7-zip.org/sdk.html
Не, LZMA SDK — public domain, общественное достояние, можно использовать как угодно. Так что тут вряд ли они могли что-то нарушить.
Не, LZMA SDK — public domain, общественное достояние, можно использовать как угодно. Так что тут вряд ли они могли что-то нарушить.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Интересные совпадения. Часть вторая.