Bitwarden больше не СПО

Для чего было нужно это ненужно, и чем оно было лучше чем keepass ?

Спасибо, будем знать и осуждать.

Умеет синхронизацию с сервером. Сервер можно свой поднять без проблем, если не доверяешь их конторке. Весь код так же открыт и (был) свободен.

Перешёл по ссылке, там какое-то nodejs. Осуждаем ещё больше.

Хватает pass (+ xdotool + rofi + pass-menu). Синхронизация через git или Syncthing.

RHEL всегда был проприетарным.

Был CentOS, но с недавних пор RHEL зажопил доступ к исходникам, так что прямого аналога CentOS уже не сделать

Тут по-тихоньку выясняется, что король-то голый. В смысле, RHEL’у остается только ниша сертифицированных вещей, но и её со временем оракл с канониклом (и даже всякие раки) отожрут.

Тут по-тихоньку выясняется, что король-то голый. В смысле, GPL и прочие впопенсорцные лицензии почему-то ни разу не могут оградить от злых проприетарастов.

для тех, кто ниосилил синхронизировать файл keepass, просто поместив его в синхронизируемую директорию (с любым облаком или своим сервером)

компонент sdk-internal

Что оно делает и почему оно ненужно?

Если протокол не поменялся, то почему нельзя форкнуть репу и выпилить этот «компонент», заменив его свободным кодом, написанным с помощью изучения прошлых версий?

Абсолютной защиты не получилось, но даже с учетом всех вскрывшихся лазеек и проблем, gpl весьма хорош.

почему нельзя форкнуть репу

Потому что в этот момент заканчивается халява, и остается голая свобода (дама, как известно, отнюдь не дешевая). Кто-то ведь должен будет этот форк сопровождать: адаптировать к изменениям в среде, уязвимости закрывать, новые функции добавлять, всякий там ux-дизайн модернизировать. Кто, и намного ли у него хватит силёнок и энтузиазма?

Выстроенная корпорациями экосистема СПО слишком сложна и объемна для того, чтобы энтузиасты могли бы управиться с её форком. Если корпы массово решат перейти на проприетарную модель, то свободной экосистеме придётся пройти очень брутальное и мучительное усечение бритвой Оккама. Как по объему кодовой базы, так и по количеству пользователей.

Я может быть неадекватно как-то ситуацию эту вижу, но лично я такому коллапсу был бы рад, потому что конечным итогом стало бы оздоровление нынешней блоатвари.

Абсолютной защиты не получилось, но даже с учетом всех вскрывшихся лазеек и проблем, gpl весьма хорош.

Да нет, хорошего там мало. Просто потому что даже чтобы наказать нарушителя, надо потратить 10 лет и дохрена денег на адвокатов. То есть, судиться и защищать свой код под GPL доступно только жирным корпоратам, но никак не рядовому программисту Васе.

Если протокол не поменялся, то почему нельзя форкнуть репу и выпилить этот «компонент», заменив его свободным кодом, написанным с помощью изучения прошлых версий?

Потому что в этом случае весь Bitwarden становится нахрен ненужным. Основной его плюс в том, что они сделали аппликухи для iOS с Android и плагины к браузерам. Свой форк ты парой кликов во все эти места не всунешь, поэтому проще экспортнуть пароли и использовать что-то другое.

Так аппликухи для iOS и Android в любом случае не являются свободным софтом (почти то же самое с плагинами к браузерам).

Мне интересно, из-за чего конкретно тряска (помимо идеологической), что конкретно поменяется для пользователей этой радости?

Потому что в этот момент заканчивается халява, и остается голая свобода (дама, как известно, отнюдь не дешевая). Кто-то ведь должен будет этот форк сопровождать: адаптировать к изменениям в среде, уязвимости закрывать, новые функции добавлять, всякий там ux-дизайн модернизировать. Кто, и намного ли у него хватит силёнок и энтузиазма?

Ровно отсюда мой вопрос: что конкретно делает этот проприетарный sdk-internal, и почему его нельзя малой кровью выпилить/заменить свободной реализацией, а все остальные изменения функций и UX вмерживать из мастера?

Так аппликухи для iOS и Android в любом случае не являются свободным софтом (почти то же самое с плагинами к браузерам).

Схера? Код открыт под свободной лицензией (ранее был).

Мне интересно, из-за чего конкретно тряска (помимо идеологической), что конкретно поменяется для пользователей этой радости?

На самом деле, Bitwarden просто потихоньку отходят от публикации своего кода под свободными лицензиями в сторону запроприетаривания. Тряска в том числе из-за того, что весь их изначальный маркетинг был построен на свободности и открытости, и многие им под этот соус денег дали.

Ровно отсюда мой вопрос: что конкретно делает этот проприетарный sdk-internal, и почему его нельзя малой кровью выпилить/заменить свободной реализацией, а все остальные изменения функций и UX вмерживать из мастера?

На сам sdk-internal плевать, проблема в том, что такого кода будет всё больше. Остальные изменения функций и UX вливать может и не получиться.

Это всё круто до тех пор пока у тебя база keepass не окажется отредактирована с двух машин одновременно, например из-за временного отсутствия интернета. И у тебя получится неразрешимый конфликт синхронизации.

Схера? Код открыт под свободной лицензией (ранее был).

Потому что бинарь, который тебе прилетает из аппстора/гуглоплея/AMO собирается на стороне вендора из исходников второго вендора, подписывается ими же, и никакие из четырёх свобод реализовать с собой не позволяет. То есть по сути это не свободный софт, и тот факт, что там где-то под капотом появился кусок кода под другой (несвободной) лицензией, на первый взгляд ничего для пользователя не меняет.

На самом деле, Bitwarden просто потихоньку отходят от публикации своего кода под свободными лицензиями в сторону запроприетаривания. Тряска в том числе из-за того, что весь их изначальный маркетинг был построен на свободности и открытости, и многие им под этот соус денег дали.

На сам sdk-internal плевать, проблема в том, что такого кода будет всё больше. Остальные изменения функций и UX вливать может и не получиться.

Ок, принято.

Ещё одно ненужно стало ненужно.

Потому что бинарь, который тебе прилетает из Debian собирается на стороне Debian из исходников каких-то чуваков.

Починил. В чём разница? Если я могу из предоставленных исходников собрать тот же бинарь (минус подписи), то где здесь не СПО?

1. Исходники конкретно этого бинаря тебе не предоставляют;
2. После сборки этим бинарём ты можешь разве что подтереться.

А если эти утверждения неверны, то воспользоваться форком тоже проблем никаких нет и весь разговор нерелевантен.

Исходники конкретно этого бинаря тебе не предоставляют;

Как ты к этому пришёл? Если ты намекаешь, что бинарь может быть собран из каких-то других исходников, то это решается воспроизводимостью сборки и проверкой хешей. Дистры люникса от этого так-то тоже страдают.

А если эти утверждения неверны, то воспользоваться форком тоже проблем никаких нет и весь разговор нерелевантен.

С форком проблема стоит в запихивании этого форка в аппсторы. Там дикая бюрократия и попоболь. Проблема лежит совсем не в технической плоскости.

Умеет синхронизацию с сервером.

А что сложного в синхронизации одиного файлика? Для этого нужно отдельный сервер, свое АПИ и какой-то калл на ДжиAss.

неразрешимый конфликт

А гит как работает?

А что сложного в синхронизации одиного файлика?

Хороший вопрос. Я не знаю, что мешало разрабам KeepassXC запилить синхронизацию одного файлика в свою поделку и почему они дрочили всё это время.

А гит как работает?

Удачи смержить конфликт в бинарном блобе в гите лол

Сервер можно свой поднять без проблем, если не доверяешь их конторке.

Какая-то «не снимая свитер» фича.

То есть, судиться и защищать свой код под GPL доступно только жирным корпоратам, но никак не рядовому программисту Васе.

Если Васин код будет стоять на каждой N-ной машине, то проект будут защищать бесплатно и мб даже без необходимости этого Васю сильно шевелить.

Таким образом, программы под этой лицензией не могут считаться свободными

Ну всё, гроб гроб кладбище столлман

Если Васин код будет стоять на каждой N-ной машине, то проект будут защищать бесплатно и мб даже без необходимости этого Васю сильно шевелить.

Тут был бы неплохо список примеров из реальной жизни. Если, конечно, под защитой вы не имеете ввиду кукареки в интернетах.

Типа таких? https://wiki.fsfe.org/Migrated/GPL%20Enforcement%20Cases https://copyleft.org/guide/comprehensive-gpl-guidepa3.html

Если Васин код будет стоять на каждой N-ной машине, то проект будут защищать бесплатно и мб даже без необходимости этого Васю сильно шевелить.

Не будут, потому что не могут. Васино участие необходимо.

Но да, примеров хотелось бы. Потому что на китайцев куда-то подавать просто бесполезно, например.

Типа таких? https://wiki.fsfe.org/Migrated/GPL%20Enforcement%20Cases

Там их примерно 10 штук и последний процесс датируется 2013 годом. За 11 лет с тех пор они никого не защитили? Мне что-то кажется, что нарушений GPL за эти 11 лет было до жопы и больше. Вон один только Winamp чего стоил!

А у меня давно напрашивается вот такой вопрос. Если некое ПО в какой-то момент меняет условия лицензии, то все старые версии можно использовать на условиях предыдущей лицензии, верно?

Что-то я не вижу миллионов долларов, выплаченных в качестве компенсации.

Да.

Если некое ПО в какой-то момент меняет условия лицензии, то все старые версии можно использовать на условиях предыдущей лицензии, верно?

Да, всё так. Задним числом лицензию поменять нельзя, если возможность такого не написана в этой лицензии. В GPL возможности задним числом что-то менять нет.

Там их примерно 10 штук и последний процесс датируется 2013 годом. За 11 лет с тех пор они никого не защитили?

Так а судебные процессы годами идут.

Ну и я просто примеры привёл с первой страницы. Бд примеров больше, а мб фсф стала работать хуже.

А кто тебе миллионы обещал, «кукареки»?

Потому что их не будет, нарушать GPL будет просто выгодно. В самом худшем случае просто открываешь код и ничего не теряешь. А человек, который с тобой судится теряет кучу времени и денег на судебные тяжбы.

Весь код так же открыт и (был) свободен.

ну как же «весь»? что с восстановлением учетки пользователя, если пользователь утерян?

Какой-то он кривой от рождения. Мы его пробовали. Случилось так, что один из юзеров забыл свой мастер-пароль, а там почему-то не было функции даже со стороны админа залезть и спасти пользовательские пароли.

Файл — бинарный, пока он зашифрован. В Кипасе есть функция слияния. После синхронизации мерджишь две базы — локальную и remote. ???? Profit)))

А гит как работает?

Никто бинарные файлы через git не обрабатывает. Обычно их кладут в LFS, а сам git хранит только ссылку на файл.

Исключение составляет ситуация когда есть специальный merge driver под конкретный тип данных.

Случилось так, что один из юзеров забыл свой мастер-пароль, а там почему-то не было функции даже со стороны админа залезть и спасти пользовательские пароли.

Это фича же.

Ничего? Пароль – это ключ от твоего хранилища. Ты правда хочешь, чтобы перцы из BW могли его «восстановить»?

специальный merge driver

Могешь, когда хочешь. И что мешает его сделать для киипас базы? Но это касается только слияния веток, ремоута это не касается)))

Да, я тоже поржал))))

Говорят, ошибочка вышла.

Файл — бинарный, пока он зашифрован.

Не знаю что там с форматом keepass, но в теории-то ничто не мешает зашифрованному представлению быть +/- пригодным для ванильного мерджа. Для этого файл должен быть текстовым, запись о пароле должна быть представлена в виде одной base64-строки. Разные записи - разные строки, шифруются по отдельности друг от друга. Новые/измененные записи помещаются всегда в конец файла. Мерджилке сказать, чтобы контекст (fuzz factor) при мердже вообще не учитывала.