Patentansprüche auf CSP 2.0: Firma will für etablierten Webstandard abkassieren

Als Schutz gegen Cross-Site-Scripting sind seit Jahren Sicherheitsverfahren wie CSP etabliert. Nun sollten Webseitenbetreiber plötzlich dafür zahlen.

Artikel veröffentlicht am ,
CSP soll gegen Angriffe per Javascript-Code schützen.
CSP soll gegen Angriffe per Javascript-Code schützen. (Bild: Friedhelm Greis/Golem.de)

Mit offensichtlich unberechtigten Patentansprüchen bei der Browsersicherheit hat eine britische Computerfirma für Verwirrung gesorgt. Die im südenglischen Haywards Heath ansässige Firma Datawing hat in Schreiben an Webseitenbetreiber das Patent auf die sogenannte Content Security Policy (CSP) 2.0 reklamiert, mit der Browserhersteller das nicht autorisierte Ausführen von Javascript-Code durch Webseiten per Cross-Site-Scripting (XSS) verhindern wollen. Inzwischen hat sich die Firma für die Briefe entschuldigt.

Stellenmarkt
  1. IT Systembetreuer/IT-Administra- tor, Software-Paketierung (w/m/d)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. SAP FI/CO Berater (m/w/x)
    über duerenhoff GmbH, Wuppertal
Detailsuche

In dem Schreiben behauptet Datawing-Direktor William Coppock, schon zwei Jahre vor der Veröffentlichung des CSP-2.0-Standards im Jahr 2013 das Verfahren per Nonce-Wert entwickelt zu haben. Ein Nonce-Wert muss für jede Verschlüsselungsoperation einmalig sein. Das Verfahren hat sich Datawing demnach durch Patente in Großbritannien (GB 2496107) und den USA (8959628) schützen lassen.

Dieses Verfahren werde im Datawing-Produkt Scriptlock eingesetzt, das den XSS-Schutz per Nonce auch bei älteren Browsern ermögliche, die nur CSP 1.0 unterstützen, heißt es in dem Schreiben. Coppock fordert darin die Webseitenbetreiber auf, entweder Scriptlock zu kaufen oder eine Lizenz für das Patent zu erwerben. Alternativ könne auch der Serviceprovider aufgefordert werden, die zu tun.

Der Hacker Scott Helme hat auf seinem Blog Material zusammengetragen, um die Ansprüche von Datawing zu widerlegen. Zudem entwickelte sich nach seinem Twitter-Beitrag eine intensive Diskussion unter Entwicklern, was den angeblichen Patentschutz für das Nonce-Verfahren betrifft. Dabei wurde auch ein Blogpost des inzwischen verstorbenen Entwicklers Gervase Markham verlinkt, der 2005 ein entsprechendes Verfahren durch einen Einmalschlüssel vorgeschlagen hatte.

Datawing-Chef bittet um Entschuldigung

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Webentwicklung mit React and Typescript
    20.-24. September 2021, online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Die Webseite The Register konfrontierte mit diesen Erkenntnissen Datawing-Direktor Coppock, der sich anschließend zerknirscht zeigte. "Was bin ich für ein blöder Trottel", sagte er und verwies darauf, dass er sechs Kinder habe und an Krebs erkrankt sei. Die Beantragung der Patente habe ihn seine Ersparnisse gekostet. "Ich wollte niemandem Schaden zufügen", sagte Coppock und fügte hinzu: "Vielleicht sollte ich das einfach verkaufen oder Mozilla geben."

Coppock habe bestritten, ein Patenttroll zu sein, schreibt The Register. Er bitte alle 25 Empfänger seines Briefes um Entschuldigung und fordere sie auf, sich bei Rückfragen an ihn zu wenden. Laut Coppock hat eine Anwaltskanzlei das Schreiben vorab auf Rechtmäßigkeit hin geprüft.

Dem Bericht zufolge dürfte der Firma zumindest kein juristischer Ärger wegen der unberechtigten Anmeldung von Patentansprüchen drohen. Denn Datawing habe in dem Schreiben selbst keine juristischen Schritte angedroht, wenn keine Lizenzen erworben würden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Datenleck
Daten von 106 Millionen Thailand-Reisenden geleakt

In einer ungeschützten Datenbank fanden sich die Daten der Thailand-Reisenden aus den letzten zehn Jahren - inklusive Reisepassnummern.

Datenleck: Daten von 106 Millionen Thailand-Reisenden geleakt
Artikel
  1. Weihnachtsgeschäft: Amazon benötigt wieder 10.000 Saisonkräfte
    Weihnachtsgeschäft
    Amazon benötigt wieder 10.000 Saisonkräfte

    Amazon stellt im Weihnachtsgeschäft wieder viele Befristete ein und zahlt angeblich 12 Euro brutto.

  2. Betriebssystem: Einige Windows-11-Apps funktionieren nicht ohne Internet
    Betriebssystem
    Einige Windows-11-Apps funktionieren nicht ohne Internet

    Um Platz zu sparen, müssen sich einige vorinstallierte Windows-11-Apps mit dem Internet verbinden. Auch ein Microsoft-Konto ist dafür nötig.

  3. Zynga: Farmville 3 setzt auf Schweinchen
    Zynga
    Farmville 3 setzt auf Schweinchen

    Echte Gamer hassen Farmville - wenn sie nicht selbst heimlich spielen. Jetzt hat Zynga den dritten Teil vorgestellt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 23,8" FHD 144Hz 166,90€ • PS5 bei Amazon zu gewinnen • PCGH-PC mit Ryzen 5 & RTX 3060 999€ • Corsair MP600 Pro 1TB mit Heatspreader PS5-kompatibel 162,90€ • Alternate (u. a. Asus WLAN-Adapter PCIe 24,90€) • MM-Prospekt (u. a. Asus TUF 17" i5 RTX 3050 1.099€) [Werbung]
    •  /