Patentansprüche auf CSP 2.0: Firma will für etablierten Webstandard abkassieren

Als Schutz gegen Cross-Site-Scripting sind seit Jahren Sicherheitsverfahren wie CSP etabliert. Nun sollten Webseitenbetreiber plötzlich dafür zahlen.

Artikel veröffentlicht am ,
CSP soll gegen Angriffe per Javascript-Code schützen.
CSP soll gegen Angriffe per Javascript-Code schützen. (Bild: Friedhelm Greis/Golem.de)

Mit offensichtlich unberechtigten Patentansprüchen bei der Browsersicherheit hat eine britische Computerfirma für Verwirrung gesorgt. Die im südenglischen Haywards Heath ansässige Firma Datawing hat in Schreiben an Webseitenbetreiber das Patent auf die sogenannte Content Security Policy (CSP) 2.0 reklamiert, mit der Browserhersteller das nicht autorisierte Ausführen von Javascript-Code durch Webseiten per Cross-Site-Scripting (XSS) verhindern wollen. Inzwischen hat sich die Firma für die Briefe entschuldigt.

Stellenmarkt
  1. Softwareentwickler C#, VB.Net (m/w/d) für unsere CNC-Schleifmaschinen
    Schütte Schleiftechnik GmbH, Köln
  2. Softwareentwickler C# Laborgeräte (Partikelmesstechnik) (m/w/d)
    Microtrac Retsch GmbH, Haan
Detailsuche

In dem Schreiben behauptet Datawing-Direktor William Coppock, schon zwei Jahre vor der Veröffentlichung des CSP-2.0-Standards im Jahr 2013 das Verfahren per Nonce-Wert entwickelt zu haben. Ein Nonce-Wert muss für jede Verschlüsselungsoperation einmalig sein. Das Verfahren hat sich Datawing demnach durch Patente in Großbritannien (GB 2496107) und den USA (8959628) schützen lassen.

Dieses Verfahren werde im Datawing-Produkt Scriptlock eingesetzt, das den XSS-Schutz per Nonce auch bei älteren Browsern ermögliche, die nur CSP 1.0 unterstützen, heißt es in dem Schreiben. Coppock fordert darin die Webseitenbetreiber auf, entweder Scriptlock zu kaufen oder eine Lizenz für das Patent zu erwerben. Alternativ könne auch der Serviceprovider aufgefordert werden, die zu tun.

Der Hacker Scott Helme hat auf seinem Blog Material zusammengetragen, um die Ansprüche von Datawing zu widerlegen. Zudem entwickelte sich nach seinem Twitter-Beitrag eine intensive Diskussion unter Entwicklern, was den angeblichen Patentschutz für das Nonce-Verfahren betrifft. Dabei wurde auch ein Blogpost des inzwischen verstorbenen Entwicklers Gervase Markham verlinkt, der 2005 ein entsprechendes Verfahren durch einen Einmalschlüssel vorgeschlagen hatte.

Datawing-Chef bittet um Entschuldigung

Golem Karrierewelt
  1. IT-Sicherheit: (Anti-)Hacking für Administratoren und Systembetreuer: virtueller Drei-Tage-Workshop
    10.-12.10.2022, Virtuell
  2. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    22./23.11.2022, Virtuell
Weitere IT-Trainings

Die Webseite The Register konfrontierte mit diesen Erkenntnissen Datawing-Direktor Coppock, der sich anschließend zerknirscht zeigte. "Was bin ich für ein blöder Trottel", sagte er und verwies darauf, dass er sechs Kinder habe und an Krebs erkrankt sei. Die Beantragung der Patente habe ihn seine Ersparnisse gekostet. "Ich wollte niemandem Schaden zufügen", sagte Coppock und fügte hinzu: "Vielleicht sollte ich das einfach verkaufen oder Mozilla geben."

Coppock habe bestritten, ein Patenttroll zu sein, schreibt The Register. Er bitte alle 25 Empfänger seines Briefes um Entschuldigung und fordere sie auf, sich bei Rückfragen an ihn zu wenden. Laut Coppock hat eine Anwaltskanzlei das Schreiben vorab auf Rechtmäßigkeit hin geprüft.

Dem Bericht zufolge dürfte der Firma zumindest kein juristischer Ärger wegen der unberechtigten Anmeldung von Patentansprüchen drohen. Denn Datawing habe in dem Schreiben selbst keine juristischen Schritte angedroht, wenn keine Lizenzen erworben würden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
e.Go Life getestet
Abgesang auf ein schwer erfüllbares Versprechen

Der e.Go Life aus Aachen sollte Elektromobilität erschwinglich machen. Doch nach 1.500 ausgelieferten Exemplaren ist nun Schluss. Was nachvollziehbar ist.
Ein Bericht von Friedhelm Greis

e.Go Life getestet: Abgesang auf ein schwer erfüllbares Versprechen
Artikel
  1. Unbound: Neues Need for Speed verbindet Gaspedal mit Graffiti
    Unbound
    Neues Need for Speed verbindet Gaspedal mit Graffiti

    Veröffentlichung im Dezember 2022 nur für PC und die neuen Konsolen: Electronic Arts hat ein sehr buntes Need for Speed vorgestellt.

  2. Google: Pixel 7 und 7 Pro kosten so viel wie die Vorgänger
    Google
    Pixel 7 und 7 Pro kosten so viel wie die Vorgänger

    Googles Pixel-7-Smartphones kommen mit neuem Tensor-Chip, ansonsten ist die Hardware vertraut. Neuigkeiten gibt es bei der Software.

  3. Lochstreifenleser selbst gebaut: Lochstreifen für das 21. Jahrhundert
    Lochstreifenleser selbst gebaut
    Lochstreifen für das 21. Jahrhundert

    Früher wurden Daten auf Lochstreifen gespeichert - lesen kann man sie heute nicht mehr so leicht. Es sei denn, man verwendet Jürgen Müllers Lesegerät auf Arduino-Basis.
    Von Tobias Költzsch

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • MindStar (Gigabyte RTX 3090 Ti 1.099€, RTX 3070 539€) • Alternate (Team Group DDR4/DDR5-RAM u. SSD) • Günstig wie nie: MSI Curved 27" WQHD 165Hz 289€, Philips LED TV 55" Ambilight 549€, Inno3D RTX 3090 Ti 1.199€ • 3 Spiele für 49€ [Werbung]
    •  /