Patentansprüche auf CSP 2.0: Firma will für etablierten Webstandard abkassieren

Als Schutz gegen Cross-Site-Scripting sind seit Jahren Sicherheitsverfahren wie CSP etabliert. Nun sollten Webseitenbetreiber plötzlich dafür zahlen.

Artikel veröffentlicht am ,
CSP soll gegen Angriffe per Javascript-Code schützen.
CSP soll gegen Angriffe per Javascript-Code schützen. (Bild: Friedhelm Greis/Golem.de)

Mit offensichtlich unberechtigten Patentansprüchen bei der Browsersicherheit hat eine britische Computerfirma für Verwirrung gesorgt. Die im südenglischen Haywards Heath ansässige Firma Datawing hat in Schreiben an Webseitenbetreiber das Patent auf die sogenannte Content Security Policy (CSP) 2.0 reklamiert, mit der Browserhersteller das nicht autorisierte Ausführen von Javascript-Code durch Webseiten per Cross-Site-Scripting (XSS) verhindern wollen. Inzwischen hat sich die Firma für die Briefe entschuldigt.

Stellenmarkt
  1. Testingenieur E/E und Software (m/w/d)
    WEBER-HYDRAULIK GMBH, Güglingen
  2. Head of IT (m/w/d)
    CQLT SaarGummi Deutschland GmbH, Wadern-Büschfeld
Detailsuche

In dem Schreiben behauptet Datawing-Direktor William Coppock, schon zwei Jahre vor der Veröffentlichung des CSP-2.0-Standards im Jahr 2013 das Verfahren per Nonce-Wert entwickelt zu haben. Ein Nonce-Wert muss für jede Verschlüsselungsoperation einmalig sein. Das Verfahren hat sich Datawing demnach durch Patente in Großbritannien (GB 2496107) und den USA (8959628) schützen lassen.

Dieses Verfahren werde im Datawing-Produkt Scriptlock eingesetzt, das den XSS-Schutz per Nonce auch bei älteren Browsern ermögliche, die nur CSP 1.0 unterstützen, heißt es in dem Schreiben. Coppock fordert darin die Webseitenbetreiber auf, entweder Scriptlock zu kaufen oder eine Lizenz für das Patent zu erwerben. Alternativ könne auch der Serviceprovider aufgefordert werden, die zu tun.

Der Hacker Scott Helme hat auf seinem Blog Material zusammengetragen, um die Ansprüche von Datawing zu widerlegen. Zudem entwickelte sich nach seinem Twitter-Beitrag eine intensive Diskussion unter Entwicklern, was den angeblichen Patentschutz für das Nonce-Verfahren betrifft. Dabei wurde auch ein Blogpost des inzwischen verstorbenen Entwicklers Gervase Markham verlinkt, der 2005 ein entsprechendes Verfahren durch einen Einmalschlüssel vorgeschlagen hatte.

Datawing-Chef bittet um Entschuldigung

Golem Karrierewelt
  1. Implementing Cisco Enterprise Wireless Networks (ENWLSI): virtueller Fünf-Tage-Workshop
    10.-14.10.2022, virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    07.-10.11.2022, virtuell
Weitere IT-Trainings

Die Webseite The Register konfrontierte mit diesen Erkenntnissen Datawing-Direktor Coppock, der sich anschließend zerknirscht zeigte. "Was bin ich für ein blöder Trottel", sagte er und verwies darauf, dass er sechs Kinder habe und an Krebs erkrankt sei. Die Beantragung der Patente habe ihn seine Ersparnisse gekostet. "Ich wollte niemandem Schaden zufügen", sagte Coppock und fügte hinzu: "Vielleicht sollte ich das einfach verkaufen oder Mozilla geben."

Coppock habe bestritten, ein Patenttroll zu sein, schreibt The Register. Er bitte alle 25 Empfänger seines Briefes um Entschuldigung und fordere sie auf, sich bei Rückfragen an ihn zu wenden. Laut Coppock hat eine Anwaltskanzlei das Schreiben vorab auf Rechtmäßigkeit hin geprüft.

Dem Bericht zufolge dürfte der Firma zumindest kein juristischer Ärger wegen der unberechtigten Anmeldung von Patentansprüchen drohen. Denn Datawing habe in dem Schreiben selbst keine juristischen Schritte angedroht, wenn keine Lizenzen erworben würden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Meta
"Es ist euer Job, euch in Horizon Worlds zu verlieben!"

Amüsante Auszüge aus Memos von Meta zeigen, dass nicht mal die Entwickler von Horizon Worlds gerne in ihre virtuelle Welt eintauchen.

Meta: Es ist euer Job, euch in Horizon Worlds zu verlieben!
Artikel
  1. Nach Datenleck: Softwareentwickler durch Privatdetektiv bedroht
    Nach Datenleck
    Softwareentwickler durch Privatdetektiv bedroht

    Durch Zufall entdeckte ein Entwickler ein Datenleck, meldete es und informierte die Betroffenen. Kurze Zeit später stand ein Privatdetektiv vor seiner Tür.
    Eine Recherche von Moritz Tremmel

  2. Python für Data Engineering und Data Science
     
    Python für Data Engineering und Data Science

    Bei der Auswertung und Darstellung von Daten kommt keine Programmiersprache häufiger zum Zug als Python. Kurse zum leichten Einstieg bietet die Golem Karrierewelt.
    Sponsored Post von Golem Karrierewelt

  3. Klage gegen Datenschutzaufsicht: Bundeskriminalamt weigert sich, Funkzellendaten zu löschen
    Klage gegen Datenschutzaufsicht
    Bundeskriminalamt weigert sich, Funkzellendaten zu löschen

    Das BKA will gesammelte Überwachungsdaten nicht löschen müssen. Deswegen klagt die Polizei gegen einen Bescheid des obersten Datenschützers.
    Eine Exklusivmeldung von Lennart Mühlenmeier

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • iPhone 14 Plus jetzt erhältlich • Günstig wie nie: Gigabyte RTX 3090 Ti 1.099€, Sapphire RX 6900 XT 834,99€, KF DDR5-5600 16GB 99,39€, Logitech Gaming-Maus 69,99€, MSI Curved 27" WQHD 165Hz 289€ • AMD Ryzen 7 5800X3D 429€ • NfS Unbound vorbestellbar • 3 Spiele für 49€ [Werbung]
    •  /