Computerfirma will für etablierten Webstandard abkassieren

Zum Schutz gegen Cross-Site-Scripting sind Sicherheitsverfahren wie CSP seit Jahren Standard, aber jetzt sollen die Betreiber von Webseiten plötzlich dafür zahlen.

Mit offensichtlich unberechtigten Patentansprüchen in Sachen Browsersicherheit hat eine englische Computerfirma für Verwirrung gesorgt. Die in Haywards Heath ansässige Firma Datawing hat in Schreiben an Webseitenbetreiber das Patent auf die sogenannte Content Security Policy (CSP) 2.0 reklamiert, mit der die Browserhersteller das nicht autorisierte Ausführen von Javascript-Code durch Webseiten per Cross-Site-Scripting (XSS) verhindern wollen. Inzwischen hat sich die Firma für die Briefe entschuldigen müssen.

Der feuchte Traum von Datawing

In dem Schreiben behauptet Datawing-Direktor William Coppock, er habe schon zwei Jahre vor der Veröffentlichung des CSP-2.0-Standards im Jahr 2013 das Verfahren per Nonce-Wert entwickelt. Ein Nonce-Wert muss für jede Verschlüsselungsoperation einmalig sein. Das Verfahren hat sich Datawing angeblich auch durch Patente in Großbritannien (GB 2496107) und den USA (8959628) schützen lassen.

Das Verfahren werde im Datawing-Produkt Scriptlock eingesetzt, das den XSS-Schutz per Nonce auch bei älteren Browsern erlaube, die nur CSP 1.0 unterstützen, heißt es weiter in dem Schreiben. Coppock fordert dann die Webseitenbetreiber auf, entweder Scriptlock zu kaufen oder eine Lizenz für das Patent zu erwerben. Alternativ könne auch der Serviceprovider aufgefordert werden, das zu tun.

Die Realität überrollt Datawing

In seinem Blog hat der Hacker Scott Helme hat Blog Material zusammengetragen, um die Ansprüche der Firma Datawing zu widerlegen. Außerdem ergab sich nach seinem Twitter-Beitrag eine intensive Diskussion unter Entwicklern, was den angeblichen Patentschutz für das Nonce-Verfahren betrifft.

Dabei wurde auch ein Blogpost des inzwischen verstorbenen Entwicklers Gervase Markham verlinkt, der schon 2005 ein entsprechendes Verfahren durch einen Einmalschlüssel vorgeschlagen hatte.

Patenttroll oder kranker und Brexit-geschädigter Familienvater oder beides?

Die Internetseite The Register konfrontierte Datawing-Direktor Coppock mit diesen Erkenntnissen, der sich anschließend recht zerknirscht zeigte und bestritt, ein Patenttroll zu sein.

“Was bin ich für ein blöder Trottel”, sagte er und entschuldigte sich damit, dass er sechs Kinder habe und an Krebs erkrankt sei – und dass die Beantragung der Patente ihn seine Ersparnisse gekostet habe.

“Ich wollte niemandem Schaden zufügen”, betonte Coppock und fügte auch noch hinzu: “Vielleicht sollte ich das einfach verkaufen oder Mozilla geben.”

Das Ende einer Patentaffäre

Laut The Register bat Coppock alle 25 Empfänger seines Briefes um Entschuldigung und forderte sie auf, sich bei Rückfragen an ihn zu wenden. Nach Angaben von Coppock hat eine Anwaltskanzlei das Schreiben vorab auf seine Rechtmäßigkeit geprüft.

Coppock hat sogar noch das Glück, dass seiner Firma Datawing wenigstens kein juristischer Ärger wegen der unberechtigten Anmeldung von Patentansprüchen droht, denn Datawing habe in dem Schreiben selbst keine juristischen Schritte angedroht, falls keine Lizenzen erworben würden…

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Browser, Internet, News, Programmierung, Recht, Sicherheit abgelegt und mit , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.