Ansvar

Mit forrige blogindlæg handlede om tillid, så lad os bare blive i afdelingen for store koncepter.

En af konklusionerne på den foreløbige rapport fra det Hollandske CA der blev angrebet var "Den malware der blev brugt, kunne have været opdaget af anti-virus-software, hvis der havde været noget sådant".

Behøver jeg at linke til XKCD i den sammenhæng ?

Min nyeste klumme for ACM Queue handler om ansvar

Eller rettere: Den handler om hvorfor vi skal have gennemtrumfet produktansvar for software ved lov.

Her er den helt korte version:

For ikke at slå alle kommercielle softwarehuse ihjel, indeholder mit forslag en gylden middelvej:

§0. Check med straffeloven om forsætlig skade allerede er dækket der.

§1. Hvis du leverer softwaren med komplet og kompilerbar kildetekst og licens til at fjerne enhver funtionalitet eller kode-sekvens, er produktansvaret begrænset til købsprisen.

§2. I alle andre tilfælde er softwareleverandøren ansvarlig for de skader almindelig brug af softwaren forvolder.

Bemærk at §1 ikke på nogen måder begrænser din copyright ud over det præcist angivne: Kunden må stadig ikke kopiere, sælge, udleje osv. uden din udtrykkelige licens.

Hvis et sådant lovforslag blev bragt til torvs, ville alle de spindoktorer og PR-firmaer, som softwarebranchen kunne mønstre, blive sendt i marken og i ethvert forum de kunne komme til det, udbasunerer at "dette betyder enden på softwarebranchen af idag".

Til hvilket mit svar vil være: "Ja, det var præcis hvad jeg ville opnå."

Læs venligst hele stykket Inden i kommenterer...

phk

Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Flemming Frandsen

Inden man går alt for meget i baglås over paragraf 2, skal man lige huske at det naturligvis aldrig vil være leverandørens problem hvis kunden ikke følger vejledningen og f.eks. lader være med at tage backup og teste den.

... i øvrigt passer xkcd's pointe fint med dette, meget oplysende, foredrag om den ulige kamp mellem forsvarer og angribere i IT sikkerhed: http://www.youtube.com/watch?v=IWGjWYIToFU Mao. er løsningen ikke større sikkerhedsprodukter, men bedre og simplere software.

  • 2
  • 0
#2 Benny Allan Andersen

§2. I alle andre tilfælde er softwareleverandøren ansvarlig for de skader almindelig brug af softwaren forvolder.

Ville det medføre, at man kunne købe en computer med et fuldt færdigt operativ system? Hver gang man formaterer harddisken, skal man downloade uanede Mb opdateringer. Bruger man Windows XP er man virkelig på potten. De opdaterer end ikke med SP2, hvilket gør computeren uanvendelig på nettet.

  • 0
  • 0
#4 Deleted User

Jeg tvivler på den politiske realiserbarhed.

Det umiddelbart største problem, og nok også en væsentlig grund til at loven virker så dårligt i dag, er at domstolene skal afgøre hvilket stykke software som forårsagede fejlen. Først skal en ekspert afgøre om det var styresystemet, en device-driver eller et program som forårsagede fejlen. Derefter skal han forklare sin muligvis ikke helt entydige konklusion så retssystemet kan forstå sammenhængen.

Uanset, så støtter jeg forslaget, i hvert fald i grund-ideen.

  • 4
  • 0
#5 Karsten Nyblad

Forbrugerne er allerede langt hen af vejen stillet sådan. En masse software licenser indeholder så mange fraskrivelser af ansvar, at de ville blive underkendt af domstolene i EU. Nogen licenser ligger inden i pakke, så kunden først kan se dem efter købet. Sådanne licenser vil også blive underkendt.

Når licenserne bliver underkendt, gælder den almindelige købelov, og dens bestemmelser ligger ikke langt fra, hvad PHK foreslår. Man kan undre sig over, hvorfor der ikke er nogen, der har lavet et gruppesøgsmål mod en softwareproducent, der har lavet noget l..., nægter at rette fejlene og nægter at give erstatning.

Og jo. Dette er gammelkendt stof. Det har været diskuteret før på f.eks. computerworld.dk.

  • 1
  • 0
#6 Poul-Henning Kamp Blogger

Forbrugerne er allerede langt hen af vejen stillet sådan.

Nej, det er forbrugerne ikke, for copyright traktaten giver sw-huse mulighed for at fraskrive sig ansvaret og domstolene kan intet gøre derved, med mindre sagen hører under straffeloven.

Ydermere har sw-husene "vundet hævd" på at være ansvarsløse, det kræver i domstolenes øjne en lovændring at ændre en sådan "gængs praksis".

  • 2
  • 0
#7 Karsten Nyblad

Først skal en ekspert afgøre om det var styresystemet, en device-driver eller et program som forårsagede fejlen. Derefter skal han forklare sin muligvis ikke helt entydige konklusion så retssystemet kan forstå sammenhængen.

Jeg tvivler på, at domstolene ville lade sælger dele ansvaret op på den måde. Hvis jeg går ind i en forretning, så er det den forretnings ansvar at levere et produkt, der virker. Det er ikke min opgave at finde den af forretningens leverandører, der har ansvaret for manglen.

Det samme gælder, hvis man køber 1000 PCer. Der kan man ganske vist lave specielle aftaler om, at det er Microsoft, Redhat eller et tredie firma, der står for software vedligeholdelsen, men når først dette firma har påtaget sig ansvaret, hænger de på det.

Hvis Microsoft bliver idømt et produktansvar pga en dårlig driver, så må Microsoft i første omgang betale erstatningen. Så kan Microsoft bagefter sagsøge leverandøren at driveren. Det er bare ikke køberen af operativsystemets problem.

  • 1
  • 1
#8 Karsten Nyblad

Nej, det er forbrugerne ikke, for copyright traktaten giver sw-huse mulighed for at fraskrive sig ansvaret og domstolene kan intet gøre derved, med mindre sagen hører under straffeloven.

Hvor er det skrevet ind i dansk lov?

Ydermere har sw-husene "vundet hævd" på at være ansvarsløse, det kræver i domstolenes øjne en lovændring at ændre en sådan "gængs praksis".

Kan du henvise til en domstolsafgørelse, der siger det. Jeg mener, det aldrig har været prøvet ved domstolene, formentlig fordi en sådan retsag ville blive meget dyr, og sagsøger ville være heldig, hvis han vandt en tilstrækkelig erstatning til at dække omkostningerne ved sagen. (Jo, sagsøger ville sikkert også blive tilkendt dækning af sagsomkostningerne, men den dækning dækker normalt ikke de reelle omkostninger.)

Ganske vist er kutyme en væsentlig retskilde i Danmark, men det betyder ikke, at domstolene bare dømmer på tværs af loven, fordi kutymen er sådan uden at have været prøvet ved domstolene.

  • 0
  • 0
#9 Flemming Riis

var det benytte ikke opdateret passwords , med alt på samme domain, defekt ips , pasword der kunne brute forces og tilsyneladende ingen hardware HSM.

Hvis folk ikke benytter produkterne rigtigt eller tænker sig om er det svært at gøre noget.

  • 0
  • 0
#10 Deleted User

Jeg tvivler på, at domstolene ville lade sælger dele ansvaret op på den måde. Hvis jeg går ind i en forretning, så er det den forretnings ansvar at levere et produkt, der virker. Det er ikke min opgave at finde den af forretningens leverandører, der har ansvaret for manglen.

Men du køber jo ikke hele din softwarestak i samme forretning. Selv hvis du kører MS Word på MS Windows kan Microsoft påstå at det var din 3. parts grafikkortdriver som ødelagde festen, hvis sagen skal holde i retten bliver DU nødt til at bevise at det ikke hænger sådan sammen.

  • 0
  • 0
#11 Jonas Høgh

Men du køber jo ikke hele din softwarestak i samme forretning. Selv hvis du kører MS Word på MS Windows kan Microsoft påstå at det var din 3. parts grafikkortdriver som ødelagde festen, hvis sagen skal holde i retten bliver DU nødt til at bevise at det ikke hænger sådan sammen.

Jeg tror ideen er, at hvis du går ind i Elgiganten og køber en HP PC, så hænger Elgiganten på ansvaret for hele den leverede softwarestak. At de så kan tørre en del af dette af på HP, som kan igen kan tørre en del af på fx NVidia og Microsoft, er ikke dit problem.

Sådan fungerer det i dag med fysiske produkter (herunder hardware), selvom butikker som Elgiganten ikke er særligt vilde med at indrømme det.

  • 0
  • 0
#12 Karsten Nyblad

Men du køber jo ikke hele din softwarestak i samme forretning. Selv hvis du kører MS Word på MS Windows kan Microsoft påstå at det var din 3. parts grafikkortdriver som ødelagde festen, hvis sagen skal holde i retten bliver DU nødt til at bevise at det ikke hænger sådan sammen.

Sandt nok, hvis driveren er leveret af leverandøren af grafikkortet sammen med grafikkortet, men ikke hvis driveren er leveret af Microsoft. Det gælder også, hvis det ikke er Microsoft, der har skrevet den. Hvis du køber et TV, og det ikke virker, så går du ned til din lokale TV-pusher, hvor du har købt det, og kræver at han fikser problemet. Det er ikke dit problem, at fejlen skyldes et problem i softwaren, og det ikke er TV-producenten, der har skrevet den. Det er forhandlerens problem. Det samme gælder alle andre køb.

Køber du en labtop, er det forhandlerens problem om tingene virker, og det er hans problem at få underleverandørerne til at levere software og hardware, der virker. Du skal bare påvise, at der er en fejl. Du behøver ikke vise at fejlen er i en driver eller en ram-blok. Du behøver ikke forstå PCer mere end tilstrækkeligt til at påpege fejlen.

Køber du samtidigt en PC og en kontorpakke til PCen, kan du også kræve, at kontorpakken virker på PCen, for du har en berettiget forventning om at de to ting virker sammen.

  • 0
  • 0
#14 Tommy Vestermark

§1. Hvis du leverer softwaren med komplet og kompilerbar kildetekst og licens til at fjerne enhver funtionalitet eller kode-sekvens, er produktansvaret begrænset til købsprisen.

Hvad er rationalet bag denne undtagelse?

Det er vel ikke realistisk eller praktisk, at man som forbruger forventes at forholde sig til hele kildeteksten for den købte software?

(Forøvrigt ligesom det ikke er realistisk eller praktisk, at man som forbruger forventes at læse og forstå en 60 siders lang EULA i kancellisprog ;-)

  • 0
  • 0
#15 Poul-Henning Kamp Blogger

Undtagelsen er der for at give softwarehuse et realistisk valg:

Enten tager de selv ansvaret, eller også giver de deres kunder en realistisk chance for selv at tage ansvaret.

Hvis du har et bedre forslag til hvorledes kunden realistisk kan tage ansvaret, uden adgang til kildeteksen, er jeg og mange andre lutter øren.

Der er forresten ikke noget nyt i modellen i §1: IBM, DEC, HP og mange andre, har fint overlevet at kunderne fik adgang til deres kildetekster og argumentet var netop at man ikke kunne efterladen en kunde uden mulighed for at gennemskue hvad der foregår.

Det nye i §1 er kun at kunden skal kunne kompilere kildeteksten og have lov til at eliminere de dele han ikke ønsker at bruge.

  • 1
  • 0
#17 Poul-Henning Kamp Blogger

Det kunne jo være at der var nogen der kunne hjælpe kunden med den slags.

Man kunne også sagtens forestille sig en produkt-niche for "standard-editeringer" der fjerne åbenlys idioti som "autorun.ini" og den slags, når nu sw-huset ikke kan overtales.

  • 1
  • 0
#19 Flemming Riis

Det kunne jo være at der var nogen der kunne hjælpe kunden med den slags.

Man kunne også sagtens forestille sig en produkt-niche for "standard-editeringer" der fjerne åbenlys idioti som "autorun.ini" og den slags, når nu sw-huset ikke kan overtales.

Serføldig det findes også i dag det er bare konsulenter på nogle produkter og programmører på andre, med ud fra den liste af fejl der har været listet indtil videre i den sag ville en udvikler heller ikke kunne hjælpe.

Men ja det ville da være rart hvis alle kunne lave review af koden , men det er jo nok endnu en af grundende at opensource stormer frem.

Ved ikke hvilket tempi man kan lave review af kode men hvis det er i nærheden af den tid det tager at lave den skal vi til at uddanne nogle flere udvilkere eller finde nogle non bloated programmer :)

  • 0
  • 0
#20 Jesper Louis Andersen

Hele problemet, som er er enig med PHK i, er at en IT-virksomhed kun interesserer sig for "Velocity", altså hvor hurtigt man kan udvikle softwaren. Det er specielt nemt, når man kan fraskrive sig ansvaret efterfølgende. Så naturligvis får man hurtige løsninger i stedet for langtidsholdbare løsninger.

Og det er synd.

  • 0
  • 0
#21 Brian Hvarregaard

Hvad med iværksætteren? Dem der ikke har råd til at ansætte en QA afdeling. Vil det ikke skade dem? - hvor mange vil turde kaste sig ud i softwareudvikling, hvis man i den grad kan få noget i klemme? (Specielt skade på andre systemer). Er der ikke en fare for at det kun gavner de store og vi derved fjerner de små innovative opstartsvirksomheder som ikke har andet end en super god ide?

Jeg er klar over at man skal stræbe efter at gøre det bedste man kan. Men ikke alle virksomheder, specielt opstartsvirksomheder, har råd til en full blown QA afdeling. Og ikke alle iværksættere synes Open Source er det fedeste i verden - typisk tværtimod!

Bør vi ikke skabe bedre rammer for at få flere iværksættere til at kaste sig over softwareudvikling og servicering af software i stedet for at stille en 3 meter høj mur foran dem - inden de er begyndt?

  • 0
  • 0
#22 Poul-Henning Kamp Blogger

Hvis nu jeg skal være helt ærlig, så er det mest elendige skodkode jeg har set netop lavet af opstartsvirksomheder der hverken har tid, lyst eller lejlighed til at foretage noget der blot lugter lidt af QA.

At deres kunder ville få adgang til kildeteksten og dermed bedre kunne danne sig et indtryk af hvad der var vilde luftkasteller og hvad der var faktisk fakta kan jeg slet ikke set noget problem i.

  • 0
  • 0
#23 Brian Hvarregaard

Men nu handler alt software jo ikke om koden er god eller dårlig, men om det program du benytter rent faktisk giver en mer-værdi til dig som bruger. Fx. letter din arbejdsgang, automatiserer manuelle opgaver osv. Så er det ligegyldigt om det er skod kode - det er ikke "kundens" problem. Skod kode er vel også subjektivt og hvis programmet fungerer som det skal er det ikke kundens problem, men virksomheden der har udviklet det - da de skal vedligeholde skidtet.

Det betyder for "modne" virksomheder at der er et naturligt behov for ikke at lave skod kode, da det bider dem selv i bagdelen. For "unge" virksomheder er det typisk "time-to-market" der er betydningsfuldt - så en applikation der fungerer som den skal, selvom den er bygget på RAD, er vel ligeså god som en applikation der fungerer på samme måde (begge har ingen fejl) - men som har været 1 år mere undervejs, og alt koden er super optimeret og lækkert. Hvor er forskellen for kunden - hvilket program (ikke hvilken kode er bedst) er mest værdifuldt?

  • 0
  • 0
#24 Poul-Henning Kamp Blogger

[...]hvis programmet fungerer som det skal[...]

Jeg tror du mener noget helt andet med ordet "fungerer" end jeg gør.

Du mener bilen "fungerer" hvis du kommer fra punkt A til punkt B, ikke ?

Så længe du kører rundt på dine egne jorder har jeg det fint med den version.

Men når du kører bilen ud på offentlig vej fungerer bilen ikke, hvis dens udstødning øger incidensen af lungekræft, hvis dens kølerfigur laver gullash af uheldige fodgængere, eller hvis den konsekvent følger den korteste rute igennem alle sving, uanset hvilke streger Vejdirektoratet har malet eller hvilke andre trafikanter der befinder sig på vejen.

Hvis computere ikke var forbundet med hinanden, kunne din version af "fungere" godt virke, fordi konsekvenserne var isoleret til den enkelte maskine og bruger.

Men fordi alle computere reelt er forbundet sammen idag, bliver vi nødt til at stille krav om at de ikke udgør unødvendig fare for resten af verden.

  • 0
  • 0
Log ind eller Opret konto for at kommentere