[TYPO3-german] Extensions und Lizenzen

Stephan Schuler Stephan.Schuler at netlogix.de
Mon Dec 13 10:24:07 CET 2010 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Übrigens: Ich werde in Zukunft Zeilenumbrüche händisch in die E-Mail
Einfügen. Outlook kann das anscheinend nicht, trotz entsprechender
Konfiguration. Bitte um Entschuldigung für die beiden letzten, mal
Wieder nicht blockformatierten E-Mails.



Stephan Schuler
Web-Entwickler

Telefon: +49 (911) 539909 - 0
E-Mail: Stephan.Schuler at netlogix.de
Internet: http://media.netlogix.de
- -----Ursprüngliche Nachricht-----

Von: typo3-german-bounces at lists.typo3.org [mailto:typo3-german-bounces at lists.typo3.org] Im Auftrag von Stephan Schuler
Gesendet: Montag, 13. Dezember 2010 10:12
An: typo3-german at lists.typo3.org
Betreff: Re: [TYPO3-german] Extensions und Lizenzen

* PGP Signed: 12/13/2010 at 10:11:56 AM

Hallo zusammen.


So langsam läuft die Diskussion in die Richtung die ich mir so vorstelle.


Ich glaube aber, wir sollten unsere Begrifflichkeiten genauer definieren.
Andi, deine Forderung nach "alles was nicht GPL ist aus dem TER entfernen" klingt mir zunächst sehr hart. Bei genauerem Hinhören stellt sich da allerdings etwas anderes heraus: Du willst anscheinend, dass (ausgehend von einer konkreten TYPO3-Extension) der TYPO3-Extension-Anteil dieser Extension unter GPL ins TER kommt und der Nicht-GPL-Anteil nachträglich vom Extensionmanager nachgeladen werden muss.
Das ist recht nahe an meinem Wunsch, nur dass ich ihn nicht als "alles was nicht GPL ist raus" formuliert habe und mich auch nicht zwingend auf die GPL als einzig mögliche freie Lizenz beschränken möchte. Ich bin aber auch der Meinung, dass nur solcher Code im TER verbleiben darf, der auch einer entsprechend freien (mit der GPL kompatiblen) Lizenz vereinbar ist.

Die von mir vorgeschlagene Kennzeichnung war auch nicht so gemeint, dass hier diejenigen Extensions hervorgehoben werden, die nicht-freie Komponenten beinhalten. Ich würde vielmehr durch eine deutliche Kennzeichnung (vor dem Download der Extension) darauf hinweisen, dass die Extension ggf. Zusatzkomponenten nachläd, die in meine Gliederung passen.


Ich stelle mir gerade ein echtes Zusatzmodul im Extensionmanager vor: Externe Quellen.
Eine Extension kann eine oder mehrere externe Quellen registrieren. Das muss nicht zwingend nur für Non-GPL-Code sein, ich stelle mir hier eher grundsätzlich alles vor, das man vollständig aus einem anderen Projekt übernimmt.
Für die Registrierung einer solchen externen Quelle ist ein Key notwendig, ähnlich dem Extension-Key. Allerdings würde ich diesen Key "von Menschenhand" prüfen. Es gibt sicher Code, der von einer Major-Version auf eine andere seine API recht grundlegend geändert hat. Solche Versionsnummern sollten in den Key einfließen, Beispiel mootools.
Eine Extension sollte für eine externe Quelle eine Download-URL bereitstellen können, aber nicht müssen. Dieser URL sollte eine Versionsnummer, ein Beschreibungstext und eine "Zeit der Sichtung der Version" beiliegen.
Über ein zusätzliches Modul im Extensionmanager kann man nun alle von allen Extensions angeforderten externen Quellen auflisten, sich pro Quelle einen Downloadlink auswählen (ähnlich wie das bei TYPO3-Extensions auch möglich ist), diese herunterladen oder ggf. das Paket über ein Dateifeld direkt hochladen. Der Extension-Manager kümmert sich dann darum, dass das externe Produkt in ein entsprechendes Verzeichnis entpackt wird (typo3conf/external/$uniqueKey, zum Beispiel).
Über den t3lib_extmgm sollte man sich den Pfad zu einer solchen externen Quelle holen können um darauf zu referenzieren.


Ich sehe hier deutliches Potential für ein Core-Feature. Sollte eine zusätzliche Extension das schon realisieren, sollte der Core sich das abschauen.


Gruß,



Stephan Schuler
Web-Entwickler

Telefon: +49 (911) 539909 - 0
E-Mail: Stephan.Schuler at netlogix.de
Internet: http://media.netlogix.de

- --
netlogix GmbH & Co. KG
IT-Services | IT-Training | Media
Andernacher Straße 53 | 90411 Nürnberg
Telefon: +49 (911) 539909 - 0 | Fax: +49 (911) 539909 - 99
E-Mail: mailto:info at netlogix.de | Internet: http://www.netlogix.de/

netlogix GmbH & Co. KG ist eingetragen am Amtsgericht Nürnberg (HRA 13338)
Persönlich haftende Gesellschafterin: netlogix Verwaltungs GmbH (HRB 20634)
Umsatzsteuer-Identifikationsnummer: DE 233472254
Geschäftsführer: Stefan Buchta, Matthias Schmidt

- -----Ursprüngliche Nachricht-----


Von: typo3-german-bounces at lists.typo3.org [mailto:typo3-german-bounces at lists.typo3.org] Im Auftrag von Kay Strobach
Gesendet: Montag, 13. Dezember 2010 09:09
An: typo3-german at lists.typo3.org
Betreff: Re: [TYPO3-german] Extensions und Lizenzen

Hi Bernd,

> wie wäre es mit einem deutlichen Lizenz-Icon in der Listen-Anzeige?
> Farben werden (in der aktuellen Version) schon für anderes benutzt.

ich denke das wird eher kompliziert, da laut Nutzungsbedingungen ja nur
GPLcode ins TER darf. Ich denke aber, dass ein Icon "Ext nutzt externe
Quellen, die potentiell nicht gpl sind" mit der click action welche samt
lizenz anzuzeigen funktionieren dürfte.

>
>> Besser:
>>
>> API/Hook zum Nachladen/Entpacken von ZIP Archiven nach der Installation
>> (denke sind am einfachsten zu handlen und der ExtMgm enthält schon eine
>> Klasse zum Handlen von ZIPs).
>>
>> Dieser Hook muss zusätzlich noch Lizenzhinweise anzeigen können. Damit
>> sind die Extensions im TER komplett GPL - und das finde ich wichtig. Und
>> weiterer Code von den entsprechenden Projektseiten nachgeladen werden.
>> Zusätzlich sollten die nachgeladenen Inhalte nicht direkt in der
>> Extension abgelegt werden, sondern in z.B.
>> typo3conf/extAdditions/[extkey]/[what]
>
> Wie sieht das denn unter Sicherheitsaspekten aus?
> Ab und an hört man ja von umgebogenen Domains, so dass automatische
> Updates dann Schadcode von wo anders nachladen.
>
@virencheck: weiß ich nicht, gehe aber nicht davon aus, da es soweit ich
weiß für phpcode keine virenscanner gibt

@security:
mit curl kann man zertifikate prüfen, außerdem könnte der
extensionentwickler ja md5 hashs von bekannten versionen in der
extension ablegen, damit wird dann die Unversehtheit des Archivs geprüft.

Mit Curl kannst du außerdem die Echtheit des SSL-Zertifikates prüfen.

Grüße
Kay
_______________________________________________
TYPO3-german mailing list
TYPO3-german at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german


* Stephan Schuler <Stephan.Schuler at netlogix.de>
* 0xC89B57C3(L)
_______________________________________________
TYPO3-german mailing list
TYPO3-german at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german


-----BEGIN PGP SIGNATURE-----
Version: PGP Universal 3.0.0 (Build 2881)
Charset: Windows-1252

wpUDBQFNBeZJpp0IwsibV8MBCBYbA/wO5waynzAoOWryBkslhbfpVxLVY+kXPvTb
/SOQyMEXnbCI4CsBjNF95qf87Ca4Jx/yDFQdAOElGJlVBhcQe4PO8YZftUEo6yll
lcQlECT12IXmG761JWQuCAN7jBY6cNvCpvoyBzu3/aPk5ITfoVHOclbupyJ8nlXv
HB5vUqNTvA==
=ni3n
-----END PGP SIGNATURE-----

More information about the TYPO3-german mailing list