Produktansvar eller Open Source

Dan Geer har skrevet noget klogt som I bør læse.

Han tager afsæt i Heartbleed men når frem til samme konklusion som jeg har nået: Producenter af udstyr med indlejrede computere må enten påtage sig et produktansvar, eller levere open source.

Som situationen er idag, er der rullet millioner af dimser ud, som måske, måske ikke, har en hullet OpenSSL indlejret.

Internet-routere, printere, telefoner, internetforbunde termostater, ventilationssystemer, videovervågning osv. osv. osv.

Ingen har ansvaret for at lukke hullet og hvad værre er: Ingen har muligheden for at gøre det.

En af de ting der overraskede mig absolut mest dengang jeg sloges med D-Link om deres NTP-server misbrug, var at de ikke anede om de havde sourcekoden til softwaren: De havde bare produceret "nogle millioner" dimser, trykt en manual og ud over rampen med dem.

Det giver muligvis billig elektronik, men som vi har set igen og igen, giver det også et totalt uforsvarligt Internet.

Der er en grund til at biler skal godkendes før de må færdes på offentlig vej: De kan være til fare for offentligheden.

Det kan internet-forbunde dimser også og det er på tide at vores politikere stiller krav til producenterne.

Jeg synes man skal give producenterne to: valgmuligheder:

A) Kildeteksten deponeres i brugbart format. Producenten har produktansvar til 10 år efter sidste shipment, efter samme model som bilbranchen med recalls osv. Løfter firmaet ikke opgaven med produktansvar (konkurs mv.) offentliggøres kildeteksten ved dom.

B) Release produktet med fuld dokumentation som Open Source, således at andre kan løse de problemer der opstår.

Model A vil være en god løsning for dem der sælger store dyre kasser, (Cisco osv.) mens model B vil være bedst for små billige dimser.

Nye EU Parlamenter kan begynde her...

phk

Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Troels Henriksen

Minder det ikke i grunden om reglerne ved at producere radioudstyr? Vi tillader også kun markedsførsel af radiosendere hvis en masse regler overholdes, da radiospektret er et fælles gode, så hvorfor kunne man ikke gøre det samme for Internettet? Jeg synes ikke det er nødvendigt, at man skal have godkendt et program før det må sende pakker på Internettet, men restriktioner omkring indlejrede dimser virker fornuftigt.

Poul-Henning Kamp Blogger

Jeg synes ikke det er nødvendigt, at man skal have godkendt et program før det må sende pakker på Internettet, men restriktioner omkring indlejrede dimser virker fornuftigt.

Jo, situationen minder meget om radiospektret og anden infrastruktur.

Men jeg tro at variabiliteten og antallet af "settings" på udstyr gør det umuligt at bruge typegodkendelsesmodellen fra radiospektret på internetudstyr.

Uffe Seerup

PHK, du skriver "Produktansvar" i overskriften, men alt det du skriver om i artiklen er ikke produktansvar.

Produktansvar rækker videre end til at rette fejl i produktet (eller at give andre mulighed for at rette fejl i produktet).

Produktansvar er ansvaret for de skader som produktet forårsager - noget som erstatningsmæssigt rækker langt ud over forpligtelsen til at rette fejl i produktet.

Produktansvar ville betyde, at Robin Seggelmann (eller hans arbejdsgiver) kunne sagsøges for al den skade som Heartbleed har påført brugere. Det er vi helt sikkert ikke interesseret i.

Morten Krøyer

At dømme efter PHK's tidligere ytringer om emnet, så mener PHK faktisk produktansvar.

Produktansvar ville betyde, at Robin Seggelmann (eller hans arbejdsgiver) kunne sagsøges for al den skade som Heartbleed har påført brugere. Det er vi helt sikkert ikke interesseret i.

Jeg læser PHK's forslag som svarende til den ordning man har for ejerskifte ved huskøb. Man har ansvar i 10 år for skader der forefindes på overtagelsestidspunktet på et hus man sælger. Man kan dog slippe for dette ansvar ved at få lavet et huseftersyn samt at tilbyde køber at betale halvdelen af en ejerskifte-forsikring.

På samme måde har man ansvar for udstyr man sælger - man kan dog slippe for dette ansvar ved at offentliggøre koden under en open source licens.

Forpligtelsen til at rette fejl, bliver jo også kun overholdt, hvis sanktionen for ikke at gøre det er tilpas stor. Her ville erstatningsansvar for de skader man påfører være passende - og passende usikker i størrelsen til at firmaer ikke tør spekulere i "bare" at tage straffen i stedet for at leve op til ansvaret.

Uffe Seerup

Jeg læser PHK's forslag som svarende til den ordning man har for ejerskifte ved huskøb. Man har ansvar i 10 år for skader der forefindes på overtagelsestidspunktet på et hus man sælger.

Men produktansvar ville her svare til at du som sælger også hæftede for hostipalsbehandling og medicin på grund af skimmelsvamp, for møblerne der blev vandskadet fordi de stod i kælderen hvor der ikke var højtvandssikring, for erstatning til hospitalsbehandling og svie og smerte til staklerne som får tagsten i hovedet eller snubler over ujævne fliser på havegangen.

Martin Bøgelund

Jeg læser PHK's forslag som svarende til den ordning man har for ejerskifte ved huskøb.

Billigste router på edbpriser.dk koster 117 kroner. Hvis den ikke behager mig, kan jeg verfe den ud og købe en anden - der er ikke indtjeningsmargin nok til at give plads til det proces-overhead som PHK ønsker indført - og de fleste har en timeløn, der gør det irrelevant at patche rundt på en router til 117 kroner.

Huse ligger i en anden prisklasse, og her er der fin mulighed for at indlejre noget forsikringsoverhed.

Søren Hansen

Jeg købte for lidt over et år siden en tablet på coop.dk. jeg prøver i øjeblikket at få Coop til at erkende, at reklamationsretten er gældende, når de ikke længere udsender rettelser til enheden til kendte sikkerhedsproblemer i Android, som jo i sagens natur eksisterede, da produktet blev solgt.
I dette tilfælde er softwaren mere eller mindre tilgængelig i source form, men ikke umiddelbart tilgængelig for den almindelige forbruger(herunder mig).

Rasmus Skov
Martin Bøgelund

Ok, en dårlig analogi er som en utæt hammer - i get it.

Sammenligningen var ment udelukkende på muligheden for at frasige sig ansvaret.

Det var ikke så meget din analogi jeg var ude efter...

Jeg synes generelt ikke det giver mening at stille de store krav om open source eller deponering af kode op, på et produkt til 117 kr. Og hvis der er 100 mio routere i det prisleje ude hos forbrugerne, er det jo et slag i luften at sige det skal være open source; man køber en billig router, fordi man ikke bekymrer sig særligt meget om den - og så lægger man heller ikke nødvendigvis ny firmware på, bare fordi der er nogle der snakker om OpenSSL-sårbarheder.

Ole Kaas

man køber en billig router, fordi man ikke bekymrer sig særligt meget om den

Så du mener også det er iorden at køre uden sikkerhedssele? Sikkerhedsmæssigt er det jo kun brugeren det går ud over. I det store billede kommer vi alligevel og skraber fjolset op og lapper ham sammen når uheldet er ude.

En fejlbehæftet router er ikke kun til gene for brugeren - når "uheldet" er ude. Den kan bruges til at skade og påføre omkostninger for andre end brugeren - edda uden at brugeren har nogen anelse herom.

Poul-Henning Kamp Blogger

Men produktansvar ville her svare til at du som sælger også hæftede for hostipalsbehandling og medicin på grund af skimmelsvamp, [...]

For det første: Ja, jeg mener faktisk produktansvar.

Hvis sælger en million skoddimser så får til konsekvens at danskene mister deres privatliv, så mener jeg helt seriøst at de skal kunne drages til ansvar for den skade der følger af deres kortsigtede profitjagt.

Denne risiko kan de minimere på tre måder:

  1. tegne en forsikring. Forsikringsselskabet har sikkert noget input i den forbindelse.

  2. Gøre det ordentligt.

  3. Gøre det til open source.

Troels Henriksen

Gøre det til open source.

Jeg synes ikke at produktansvaret skal løftes blot fordi kildekoden er offentligt tilgængelig. Hvis man sælger et produkt, så står man også til ansvar overfor fejl i produktet (indenfor visse grænser). Bemærk at dette ikke begrænser open source i almindelighed, da de fleste open source-programmører ikke direkte sælger deres kode.

Knud Jensen

Nu nævner du selv "Internet-routere, printere, telefoner, internetforbunde termostater, ventilationssystemer, videovervågning osv. osv. osv."

routere, telefoner og videoovervågning er jeg endnu ikke rendt ind i problemer med at finde firmware til. Og specielt routere har det været ganske ligetil at pille i koden.

Så findes det ikke allerede derude?

Benjamin Bach

Hvis man som producent videresælger produkter med open source, og man enten ikke

  1. ...læser kildekoden i den open source, man distribuerer med
    eller
  2. ...giver brugeren mulighed for at vide, om dimsen er ramt af velkendte sikkerhedshuller
    eller
  3. ...ikke agerer på alvorlige fejl og mangler, som rettes i senere versioner af den open source, man benytter

...ja, så handler man jo i hvert fald groft uagtsomt til skade for kunderne. Det skal jeg ikke gøre mig mere klog på... men her er et rigtig godt link med eksisterende jura på området, fra bogen IT-Retten, 18.3. Funktionsansvaret:

http://www.it-retten.dk/bog/18/03/

Interessant er især:

Det objektive produktansvar kan anskues som en erstatningsretlig beskyttelse af den tillid, der udspringer af, at vi håndterer - og "kommunikerer" med - vore produkter i overensstemmelse med deres fremtoning. Ansvaret bygger på den tanke, at produktet rummer en information om sig selv, der lægger op til, at forbrugeren skal udvise en større eller mindre grad af tillid.

Esben Nielsen

Den giver dig ret lige præcis ret til at opdatere din enhed med en rettet version.

Du burde måske som udvikler selv tage et ansvar for at slutbrugerreglerne får mulighed for at rette fejlene, ved at kræve at producenter, som benytter din kode giver slutbrugeren den mulighed, istedet for blot at levere koden til producenten uden betingelser. Det var da et skridt du kunne tage før du hidkaldte lovgiverne.

Log ind eller Opret konto for at kommentere