Ist die "verlangte" Quelloffenheit von Plugin nun der Scheideweg einiger Hersteller?

@christiantrade schrieb:

@Moritz Naczenski schrieb:

Natürlich sind alle unsere Erweiterungen quelloffen - alles was in der PE enthalten ist und auch alles was in der Enterprise enthalten ist. Wenn der Kunde es erwirbt, erhält er die Erweiterungen quelloffen. Quelloffen != OpenSource. Nur weil es nicht jedem zugänglich ist, muss es ja nicht verschlüsselt sein.

Und jetzt mal bitte sachlich zum Thema zurückkehren - Wenns so weiter geht, bekommt der Thread auch mal 24h Auszeit.

Das meinte ich damit nicht.

Dadurch, dass Ihr die Versionen nicht für jeden zugänglich habt, habt Ihr natürlich den Schutz den der Plugin Hersteller nicht hat. Das meinte ich damit, nicht das die Plugins nicht quelloffen sind.

Theoretisch gesehen: Könnte ich mir jetzt als Kunde eine Testversion anfordern ( die dann ja quelloffen ist ) und mir das Plugin einfach kopieren, oder nicht? Sprich, der Hersteller hat keinen effektiven Schutz gegen Raukopien und praktisch gesehen könnte sich jeder das Plugin einfach auf leichtesten Wege einfach nehmen, wenn der Hersteller das Plugin nicht verschlüsselt oder sehe ich das falsch? 

Naja, natürlich kann jemand eine PE kaufen und die Erweiterungen danach auch 100 anderen Domains einsetzen. Ist der gleiche Case.Es ist ja nicht so, als ob wir solche Cases nicht schon 2 Jahre beleuten und wissen, dass der Anteil verschwindend gering ist. Zudem kann man unsere Premium-Plugins auch alle quelloffen als Testversion bekommen. Würde sagen, wir sitzen da im gleichen Bot.

Es gibt deutlich mehr als einen Sicherheitslayer. Die Frage ist nur, ob man das hier im Forum so breittreten sollte, als Hersteller liegt das wohl nicht im eigenen Interesse, dass irgendwo beschrieben wird, welche Maßnahemn ergriffen werden :slight_smile:

Aber natürlich bekommen wir mit, wenn eine Testlizenz ausläuft und weisen mitlerweile auch mehr als Penetrant darauf hin. Nach ablauf der Schonfrist gibt es erstmal eine Mail von uns und bald wird es da auch einen Halbautomatismus geben, der die Plugins dann lizensiert und bucht. Insofern hat der Hrsteller selbst da wenig zu befürchten. Auch werden Kopien im Store geprüft, da gehts nicht nur um 1:1 Kopien, sondern auch um Teilbereiche, Logiktiefe u.v.m., da gibt es große Algorithmen die für soetwas gut geeignet sind. Das wären erstmal die offensichtlichen Dinge. Die Hersteller haben dazu auch schon Newsletter/Newsfeeds in Ihrem bereich erhalten.

@Moritz Naczenski schrieb:

@christiantrade schrieb:

@Moritz Naczenski schrieb:

Natürlich sind alle unsere Erweiterungen quelloffen - alles was in der PE enthalten ist und auch alles was in der Enterprise enthalten ist. Wenn der Kunde es erwirbt, erhält er die Erweiterungen quelloffen. Quelloffen != OpenSource. Nur weil es nicht jedem zugänglich ist, muss es ja nicht verschlüsselt sein.

Und jetzt mal bitte sachlich zum Thema zurückkehren - Wenns so weiter geht, bekommt der Thread auch mal 24h Auszeit.

Das meinte ich damit nicht.

Dadurch, dass Ihr die Versionen nicht für jeden zugänglich habt, habt Ihr natürlich den Schutz den der Plugin Hersteller nicht hat. Das meinte ich damit, nicht das die Plugins nicht quelloffen sind.

Theoretisch gesehen: Könnte ich mir jetzt als Kunde eine Testversion anfordern ( die dann ja quelloffen ist ) und mir das Plugin einfach kopieren, oder nicht? Sprich, der Hersteller hat keinen effektiven Schutz gegen Raukopien und praktisch gesehen könnte sich jeder das Plugin einfach auf leichtesten Wege einfach nehmen, wenn der Hersteller das Plugin nicht verschlüsselt oder sehe ich das falsch? 

Naja, natürlich kann jemand eine PE kaufen und die Erweiterungen danach auch 100 anderen Domains einsetzen. Ist der gleiche Case.Es ist ja nicht so, als ob wir solche Cases nicht schon 2 Jahre beleuten und wissen, dass der Anteil verschwindend gering ist. Zudem kann man unsere Premium-Plugins auch alle quelloffen als Testversion bekommen. Würde sagen, wir sitzen da im gleichen Bot.

Es gibt deutlich mehr als einen Sicherheitslayer. Die Frage ist nur, ob man das hier im Forum so breittreten sollte, als Hersteller liegt das wohl nicht im eigenen Interesse, dass irgendwo beschrieben wird, welche Maßnahemn ergriffen werden :)

Aber natürlich bekommen wir mit, wenn eine Testlizenz ausläuft und weisen mitlerweile auch mehr als Penetrant darauf hin. Nach ablauf der Schonfrist gibt es erstmal eine Mail von uns und bald wird es da auch einen Halbautomatismus geben, der die Plugins dann lizensiert und bucht. Insofern hat der Hrsteller selbst da wenig zu befürchten. Auch werden Kopien im Store geprüft, da gehts nicht nur um 1:1 Kopien, sondern auch um Teilbereiche, Logiktiefe u.v.m., da gibt es große Algorithmen die für soetwas gut geeignet sind. Das wären erstmal die offensichtlichen Dinge. Die Hersteller haben dazu auch schon Newsletter/Newsfeeds in Ihrem bereich erhalten.

Ja - Man muss Sie natürlich aber erst einmal kaufen und kann sich nicht ein quelloffene Testversion installieren :) 

Also lange Rede kurzer Sinn: Im Prinzip hofft Ihr bei den Plugins auf das Gute im Menschen, dass die Leute bezahlen. Wie könnt Ihr denn davon ausgehen, dass der Anteil verschwindent gering ist? Also woher nimmt Ihr die Annahme, da es ja gar keine Verschlüsselung oder ähnl. gibt?

Klar die Testversion läuft aus, logisch. Aber ich kann mir das Plugin ja einfach kopieren und die Testversion/Lizenz läuft ganz normal aus - Ist ja kein Gehemnis. Da bekommt man ja auch keine Warnung oder sonst was - wie auch. Es gibt ja keinen Schutz.

Ich möchte das nicht breit treten, ich möchte damit auch nur sagen, dass ich einige Hersteller durchaus verstehen kann, welche Ihre Plugins nicht ohne jeglichen Schutz in den Store packen wollen. Ich bin kein Hersteller, kann es aber absolut nachvollziehen. 

 

Ich denke eine gute Variante wäre es gewsen, wenn man zumindest für die Testversion irgendeinen Schutz hat. Ich bin absolut auch für Open Source, aber irgendwo muss ein Hersteller sich natürlich auch schützen.

@christiantrade schrieb:

Also lange Rede kurzer Sinn: Im Prinzip hofft Ihr bei den Plugins auf das Gute im Menschen, dass die Leute bezahlen. Wie könnt Ihr denn davon ausgehen, dass der Anteil verschwindent gering ist? Also woher nimmt Ihr die Annahme, da es ja gar keine Verschlüsselung oder ähnl. gibt?

Ich glaube alles muss ich dir nicht aufschlüsseln :slight_smile:

Natürlich kann jemand mit viel krimineller Energie das Plugin sicherlich an der Lizenzprüfung vorbei schleusen. Das halte ich aber für aufwendiger als es bisher war. Bisher kann man auf diversen Seiten ioncube kostenlos entschlüsseln und haut sich in die checkLicense ein „return true“ rein - fertig der Spaß. Heute muss man das Plugin schon aufwendiger anpacken, wenn man das weiter nutzen will.

Kriminelle Energie wird es immer geben - aber ich glaube nicht, dass es leichter geworden ist, für potentielle Täter. Das hat auch nichts mit „Ihr hofft darauf“, sondern vielmehr damit zu tun, dass man das schlichtweg ignorieren sollte. Kriminelle Energie gibt es immer, die gab es auch schon vorher und keiner hat es gemerkt. Aber den Impact im Vertrieb wird jeder merken der OpenSource geht - also was sollte man gegen mehr Verkäufe und ggf. ein paar Schwarze Schafe (die es auch vorher gab) einzuwenden haben?

Klar kann man Unsicherheit verstehen, aber wirklich bringen tut die einem nix. 

@Moritz Naczenski schrieb:

@christiantrade schrieb:

Also lange Rede kurzer Sinn: Im Prinzip hofft Ihr bei den Plugins auf das Gute im Menschen, dass die Leute bezahlen. Wie könnt Ihr denn davon ausgehen, dass der Anteil verschwindent gering ist? Also woher nimmt Ihr die Annahme, da es ja gar keine Verschlüsselung oder ähnl. gibt?

Ich glaube alles muss ich dir nicht aufschlüsseln :)

Natürlich kann jemand mit viel krimineller Energie das Plugin sicherlich an der Lizenzprüfung vorbei schleusen. Das halte ich aber für aufwendiger als es bisher war. Bisher kann man auf diversen Seiten ioncube kostenlos entschlüsseln und haut sich in die checkLicense ein „return true“ rein - fertig der Spaß. Heute muss man das Plugin schon aufwendiger anpacken, wenn man das weiter nutzen will.

Kriminelle Energie wird es immer geben - aber ich glaube nicht, dass es leichter geworden ist, für potentielle Täter. Das hat auch nichts mit „Ihr hofft darauf“, sondern vielmehr damit zu tun, dass man das schlichtweg ignorieren sollte. Kriminelle Energie gibt es immer, die gab es auch schon vorher und keiner hat es gemerkt. Aber den Impact im Vertrieb wird jeder merken der OpenSource geht - also was sollte man gegen mehr Verkäufe und ggf. ein paar Schwarze Schafe (die es auch vorher gab) einzuwenden haben?

Klar kann man Unsicherheit verstehen, aber wirklich bringen tut die einem nix. 

Also ich scheine auf dem Schlauch zu stehen, was soll denn daran aufwendig sein?

Ich kann mir doch einfach eine Testversion anfordern, dann installieren - Und dann wird das Plugin doch quelloffen nach /custom/plugins oder /engine gepackt. Dann kopier ich mir den Spaß einfach und hab das Plugin - Ist ja quelloffen. Daran ist doch nichts aufwendig, oder ist dem nicht so?

Ich habe es noch nicht ausprobiert, aber das sollte logischerweise ja einfach so gehen, oder nicht? Es gibt ja eben keinen Schutz. Und die Lizenz läuft dann eben ganz normal aus, als wenn ich das Plugin nicht kaufen wollte. Oder irre ich mich? 

Möchte das ganze nur verstehen  Angry-Face

 

Bzgl „hoffen“ - Also ich kenne eigentlich keinen einzigen Hersteller, völlig unabhängig von Shopware, welcher eine voll funktionsfähige quelloffene Version seines Codes ohne jeglichen Schutz einfach so raus haut. 

 

Prinzipiell ist es das gleiche als wenn du einen Onlineshop hast und auf Rechnung versendest ohne jegliche Schufa Abfrage oder dergleichen. Was natürlich so gut wie keiner macht - Aus gutem Grund eben :slight_smile:

@christiantrade schrieb:

Ich kann mir doch einfach eine Testversion anfordern, dann installieren - Und dann wird das Plugin doch quelloffen nach /custom/plugins oder /engine gepackt. Dann kopier ich mir den Spaß einfach und hab das Plugin - Ist ja quelloffen. Daran ist doch nichts aufwendig, oder ist dem nicht so?

Ja, das kannst du machen. Aber dann bekommst du auch Lizenzfehler, da du keine Lizenz für den Shop hast und entsprechend wird der Prozess eingeleitet, den ich oben beschrieben habe. Du bekommst Meldungen im Backend und wenn du darauf nicht reagierst eine Rechnung. Das ist also kein Case, der so passieren könnte. Sobald du das Plugin in einem Shopware-Shop installierst, prüfen wir auch, ob du eine Lizenz dafür hast. Der „Pluginklau“ bringt dir ja erstmal nur was, wenn du es auch woanders einsetzen kannst.

Der Einsatz wird erstmal nicht unterbunden, aber wir weisen dich darauf hin, dass du es unrechtmäßig einsetzt und können dann auch nach Ablauf der Zeit das Plugin in Rechnung stellen. Es bringt dir also nichts das Plugin zu kopieren und woanders einzusetzen.

Und was man natürlich nicht vergessen sollte, neben den nervigen Meldungen und ggf. Rechtsstreit mit Shopware:

  • Kein Support auf der „geklauten“ Domain
  • Keine Updates auf der „geklauten“ Domain (Testlizenz pro Domain nur 1x möglich)
  • Keine Update-Hinweise auf der „geklauten“ Domain

Fakt ist also: Du kannst das Plugin so in keinem SW-Shop einsetzen. Du magst es dann ggf. Quelloffen haben, aber wirklich bringen tut dir das so nix. Natürlich ist über kriminelle Energie und Aufwand immer noch das ein oder andere Möglich, aber einfach nur kopieren und einsetzen ist halt nicht.

@Moritz Naczenski schrieb:

Es gibt deutlich mehr als einen Sicherheitslayer. Die Frage ist nur, ob man das hier im Forum so breittreten sollte, als Hersteller liegt das wohl nicht im eigenen Interesse, dass irgendwo beschrieben wird, welche Maßnahemn ergriffen werden :)

Aber natürlich bekommen wir mit, wenn eine Testlizenz ausläuft und weisen mitlerweile auch mehr als Penetrant darauf hin. Nach ablauf der Schonfrist gibt es erstmal eine Mail von uns und bald wird es da auch einen Halbautomatismus geben, der die Plugins dann lizensiert und bucht. Insofern hat der Hrsteller selbst da wenig zu befürchten. Auch werden Kopien im Store geprüft, da gehts nicht nur um 1:1 Kopien, sondern auch um Teilbereiche, Logiktiefe u.v.m., da gibt es große Algorithmen die für soetwas gut geeignet sind. Das wären erstmal die offensichtlichen Dinge. Die Hersteller haben dazu auch schon Newsletter/Newsfeeds in Ihrem bereich erhalten.

 

 

Also werden in Zukunft die Plugin „nach Hause telefonieren“ um eventuelle Testphasenüberschreiter zu ermitteln?
Eine „nach Hause telefonnieren“ Variante würde wohl erhebliche Datenschutz-Probleme aufwerfen.

Außerdem soll ja der Lizenzmanager deinstalliert werden. Oder habe ich da in der Upgrade Anleitung was falsch verstanden.
 

@indigo schrieb:

Eine „nach Hause telefonnieren“ Variante würde wohl erhebliche Datenschutz-Probleme aufwerfen.
 

Nunja, der Plugin-Manager kommuniziert natürlich mit dem Store. Alleine um dir Updates anzuzeigen und abgelaufene Subscriptions. Das ist ja jetzt nichts komplett neues. Dabei werden ja keine personenbezogenen Daten übermittelt o.ä., sondern es wird nur geprüft, ob das jeweilige Plugin eine Lizenz für die Domain hat. Das ist ja schon ziemlich lange so und nichts neues. Das ist eine Grundfunktion von Shopware und keine Funktion eines Plugins. 

Das ist ja richtig. Wie soll das aber dann ohne Lizenzmanager laufen. Ich hatte gelesen, dass der nicht mehr weiterentwickelt wird. 

https://community.shopware.com/Upgrade-Guide-von-Shopware-5.4-auf-5.5_detail_2084.html

Lizenzmanager Plugin-Manager

Der Pluginmanager ist doch nur zur besseren Systeminternen Verwaltung der Plugin da.

Und der Lizenzmanager steuert/prüft ob das Plugin rechtmäßig eingesetzt wird. Ergo müßte doch der LM weiter im System verbleiben.

Dieser wird aber laut SW nicht weiterentwickelt und soll sogar ab der 5.5. nicht mehr eingesetzt werden.

@christiantrade schrieb:

Ich weiß nicht wie es aktuell ist, aber wenn man wenigstens die Testversion verschlüsseln würde und die eigentliche Kauf-Version wäre Open-Source wäre das in jedem Fall eine weitaus bessere Lösung denke ich, anstatt direkt alles als Open-Source anzubieten.

Denn so hat der Hersteller absolut keinerlei Möglichkeit sich gegen Piraterie zu schützen.

Hallo,
in der Musik läuft es doch nicht anders. Da kann man auch keine Noten und Töne veschlüsseln. :wink: Dann muss man halt sein Urheberrecht vor Gericht nachweisen. Für Hersteller dürfte es zu einen Problem werden,  wenn sie ihre Plugins gegenseitig anpassen müssen, diese aber verschlüsselt sind und es deshalb nicht geht und der Kunde am Ende mehr  drauf zahlen muss, weil ersteinmal das Plugin eines anderen Herstellers nur für eine winzige Anpassung eingekauft werden muss. Die meisten Hersteller leben vom Customizing ihrer Plugins bei Kunden. Aus der technischen Sicht unterscheidet sich die Programmierung kaum, wie nun ein Textfeld oder eine Checkbox programmiert wird, oder wie die Struktur von Event Listener und Subscribe Events aufgebaut ist. Das steht alles im Developer Guide oder in anderen Tutorials im Internet. Ich denke, der Unterschied liegt darin, erstmeinmal eine Idee zu haben und diese umzusetzen und wie clever und performant die Daten verarbeitet werden. Aber auch hier ist es meist eine Sache der Erfahrung und Übung, die sich doch stetig weiterentwickelt und warum soll Einer nicht von gut geschriebenen Code lernen dürfen und sein Produkt besser machen, was ihn dann von der Konkurrenz abhebt, statt ein Plugin mit schlechten Code zu schreiben, worüber sich dann auch wieder beschwert wird? Ich denke 20% fremder Code und 80% eigene Ideen machen ein Plugin nicht zu einem Plagiat.

 

LG gwen

1 „Gefällt mir“