Patentansprüche auf CSP 2.0: Firma will für etablierten Webstandard abkassieren

Als Schutz gegen Cross-Site-Scripting sind seit Jahren Sicherheitsverfahren wie CSP etabliert. Nun sollten Webseitenbetreiber plötzlich dafür zahlen.

Artikel veröffentlicht am ,
CSP soll gegen Angriffe per Javascript-Code schützen.
CSP soll gegen Angriffe per Javascript-Code schützen. (Bild: Friedhelm Greis/Golem.de)

Mit offensichtlich unberechtigten Patentansprüchen bei der Browsersicherheit hat eine britische Computerfirma für Verwirrung gesorgt. Die im südenglischen Haywards Heath ansässige Firma Datawing hat in Schreiben an Webseitenbetreiber das Patent auf die sogenannte Content Security Policy (CSP) 2.0 reklamiert, mit der Browserhersteller das nicht autorisierte Ausführen von Javascript-Code durch Webseiten per Cross-Site-Scripting (XSS) verhindern wollen. Inzwischen hat sich die Firma für die Briefe entschuldigt.

Stellenmarkt
  1. IT-Administrator*in (m/w/d)
    Katholisches Datenschutzzentrum, Dortmund
  2. Mitarbeiter/in (d/m/w) Customer Success
    Martin Mantz GmbH, Großwallstadt (Raum Aschaffenburg)
Detailsuche

In dem Schreiben behauptet Datawing-Direktor William Coppock, schon zwei Jahre vor der Veröffentlichung des CSP-2.0-Standards im Jahr 2013 das Verfahren per Nonce-Wert entwickelt zu haben. Ein Nonce-Wert muss für jede Verschlüsselungsoperation einmalig sein. Das Verfahren hat sich Datawing demnach durch Patente in Großbritannien (GB 2496107) und den USA (8959628) schützen lassen.

Dieses Verfahren werde im Datawing-Produkt Scriptlock eingesetzt, das den XSS-Schutz per Nonce auch bei älteren Browsern ermögliche, die nur CSP 1.0 unterstützen, heißt es in dem Schreiben. Coppock fordert darin die Webseitenbetreiber auf, entweder Scriptlock zu kaufen oder eine Lizenz für das Patent zu erwerben. Alternativ könne auch der Serviceprovider aufgefordert werden, die zu tun.

Der Hacker Scott Helme hat auf seinem Blog Material zusammengetragen, um die Ansprüche von Datawing zu widerlegen. Zudem entwickelte sich nach seinem Twitter-Beitrag eine intensive Diskussion unter Entwicklern, was den angeblichen Patentschutz für das Nonce-Verfahren betrifft. Dabei wurde auch ein Blogpost des inzwischen verstorbenen Entwicklers Gervase Markham verlinkt, der 2005 ein entsprechendes Verfahren durch einen Einmalschlüssel vorgeschlagen hatte.

Datawing-Chef bittet um Entschuldigung

Golem Akademie
  1. Webentwicklung mit React and Typescript
    6.-10. Dezember 2021, online
  2. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  3. Kotlin für Java-Entwickler
    14.-15. Oktober 2021, online
Weitere IT-Trainings

Die Webseite The Register konfrontierte mit diesen Erkenntnissen Datawing-Direktor Coppock, der sich anschließend zerknirscht zeigte. "Was bin ich für ein blöder Trottel", sagte er und verwies darauf, dass er sechs Kinder habe und an Krebs erkrankt sei. Die Beantragung der Patente habe ihn seine Ersparnisse gekostet. "Ich wollte niemandem Schaden zufügen", sagte Coppock und fügte hinzu: "Vielleicht sollte ich das einfach verkaufen oder Mozilla geben."

Coppock habe bestritten, ein Patenttroll zu sein, schreibt The Register. Er bitte alle 25 Empfänger seines Briefes um Entschuldigung und fordere sie auf, sich bei Rückfragen an ihn zu wenden. Laut Coppock hat eine Anwaltskanzlei das Schreiben vorab auf Rechtmäßigkeit hin geprüft.

Dem Bericht zufolge dürfte der Firma zumindest kein juristischer Ärger wegen der unberechtigten Anmeldung von Patentansprüchen drohen. Denn Datawing habe in dem Schreiben selbst keine juristischen Schritte angedroht, wenn keine Lizenzen erworben würden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kia EV 6 im Test
Die Sport-Limousine

Der Kia EV 6 basiert auf einer reinen E-Auto-Plattform und nutzt ein 800-Volt-Batteriesystem. Technik und Design hinterlassen beim Test einen guten Eindruck.
Ein Test von Dirk Kunde

Kia EV 6 im Test: Die Sport-Limousine
Artikel
  1. AMD: Ryzen-Treiber korrigiert Kernauswahl unter Windows 11
    AMD
    Ryzen-Treiber korrigiert Kernauswahl unter Windows 11

    Windows 11 nutzt seit dem Patch den schnellsten CPU-Kern, auch der L3-Cache-Bug ist korrigiert worden. Die Ryzen-Performance stimmt wieder.

  2. Kernnetz: Telekom wechselt Cisco-Router im zentralen Backbone aus
    Kernnetz
    Telekom wechselt Cisco-Router im zentralen Backbone aus

    Die Deutsche Telekom hat einen besseren Cisco-Router in ihrem zentralen Backbone installiert. Der erreicht 260 TBit/s und wirft Fragen zur IT-Sicherheit auf.

  3. Geekbench & GFXBench: Erste Benchmarks zeigen starken Apple M1 Max
    Geekbench & GFXBench
    Erste Benchmarks zeigen starken Apple M1 Max

    Das Apple Silicon schneidet gut ab: Der M1 Max legt sich tatsächlich mit einer Geforce RTX 3080 Mobile und den schnellsten Laptop-CPUs an.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Dualsense PS5-Controller Weiß 57,99€ • Seagate SSDs & HDD günstiger (u. a. ext. HDD 14TB 326,99) • MacBook Pro 2021 jetzt vorbestellbar • World of Tanks jetzt mit Einsteigerparket ausprobieren • Docking-Station für Nintendo Switch 9,99€ • Alternate (u. a. iPhone 12 Pro 512GB 1.269€) [Werbung]
    •  /