Ostereier als IP-Schutz in Software


11

Ich arbeite in eingebetteter Software, und aus irgendeinem Grund möchte das Management ein Osterei als Mittel zum Schutz des geistigen Eigentums verstecken. Sie nennen es ein Wasserzeichen. Da unsere Software mit dem Videovorschau-Feed (dem Bild, das auf einem Bildschirm angezeigt wird, bevor Sie ein Foto aufnehmen) interagiert, soll ein Auslöser implementiert werden, der auf ungewöhnliche Videoeingaben (einen Video-Konami-Code) reagiert wie dunkel - hell - dunkel - hell - was auch immer). Wenn dieser Trigger ausgelöst wird, passiert etwas Seltsames (was außerhalb des normalen Verhaltens der Software liegt).

Ziel ist es zu überprüfen, ob unsere Software in einem Gerät enthalten ist. Klingt es nach einer guten Idee? Ich habe viele Argumente gegen diesen Schritt:

  • Was ist, wenn der Konami-Code zu sensibel ist und der Benutzer ihn auslöst?
  • Hat diese Art von watermarkrechtlichem Wert?
  • Was ist, wenn diese "Funktion" vom Client entdeckt wird?
  • Der Leistungsverlust sollte sehr gering sein, da der Soft Run auf kleinen Geräten läuft.
  • Ich bin derjenige, der diesen Auslöser entwickelt. Wenn etwas schief geht, was ist meine Verantwortung?

Was ist Ihre Meinung zu dieser Methode? Ich kann keinen Link finden, aber ich erinnere mich, dass ich auf dieser Website eine Antwort gesehen habe, die besagt, dass es eine gute Idee war, Ostereier zu Schutzzwecken zu legen. Hat jemand es mit guten Ergebnissen versucht?

Antworten:


8

Es gibt mindestens einen Präzedenzfall, wie im Wikipedia-Artikel über Ostereier beschrieben :

Die CVAX-Mikrochip-Implementierung der MicroVAX-CPU enthielt in ihren Radierungen die russische Phrase im kyrillischen Alphabet "VAX: Wenn es Ihnen wichtig genug ist, das Beste zu stehlen", um potenzielle Klonhersteller, die geistiges Eigentum stehlen, im Sowjetblock zu nadeln.

Ein bisschen mehr Details dazu finden Sie in diesem Artikel über CVAX (der Verweis auf das obige Zitat):

Schließlich enthielt die Schreibergasse das kyrillische Motto "VAX: Wenn es Ihnen wichtig genug ist, das Beste zu stehlen". 1983 hatte mir ein unbenannter Geheimdienst den Wortlaut gegeben, der besagte, dass er von einer entwendeten VAX-11/780 stammt, auf der ein sowjetischer SS20-Raketenkomplex betrieben wurde. In dem Wissen, dass einige CVAX in der UdSSR landen würden, wollte das Team, dass die Russen wissen, dass wir an sie denken.

Gemäß Ihren spezifischen Fragen:

Was ist, wenn der Konami-Code zu sensibel ist und der Benutzer ihn auslöst?

Der Konami-Code ist zu bekannt, daher ist die Möglichkeit, dass ein Benutzer ihn auslöst, größer. Wenn Sie mit dem Osterei fertig sind, sollten Sie eine originelle (und größere) Sequenz wählen. Da Ihr Osterei ein Schutzmechanismus sein soll, anstatt sinnlosen Spaß zu haben, ist es am besten, wenn die Sequenz außerhalb Ihres Unternehmens nicht bekannt ist.

Hat diese Art von Wasserzeichen einen rechtlichen Wert? Ich bin derjenige, der diesen Auslöser entwickelt. Wenn etwas schief geht, was ist meine Verantwortung?

Konsultieren Sie einen Anwalt. Dies hängt stark von Ihrem Gebietsschema und den Besonderheiten Ihres Vertrags ab. In jedem Fall ist es am besten, schriftlich nachzuweisen, dass das Management ausdrücklich um das Osterei gebeten hat. Ein Austausch von E-Mails, bei denen gezeigt wird, dass Sie Bedenken geäußert haben, sollte ausreichen.

Was ist, wenn diese "Funktion" vom Client entdeckt wird?

Kommt auf den Kunden an. Einige könnten lachen, andere könnten klagen. Meiner Meinung nach sollte der Kunde über alle anderen Funktionen, die Sie für ihn erstellen, informiert werden, da das Osterei als Mittel zum Schutz des geistigen Eigentums enthalten ist.

Der Leistungsverlust sollte sehr gering sein, da der Soft Run auf kleinen Geräten läuft.

Ja, das sollte es natürlich. Wenn Sie herausfinden, dass die Implementierung des Ostereies einen messbaren Leistungsverlust mit sich bringt, ist dies der beste Grund, dies nicht zu tun.


Ich habe so oder so keine Meinung. Wenn Sie einen Anwalt konsultieren und alle Ihre Rechtsgrundlagen abdecken, entscheiden Sie sich dafür, es wird wahrscheinlich nutzlos sein, aber Sie wissen es nie.


Update: Das CVAX-Beispiel ist natürlich ein Hardware-Beispiel, aber ich denke, es gibt keine relevanteren Beispiele (für Software und / oder eingebettete Software), die mir bekannt sind. Ich habe die Antwort hauptsächlich darauf gestützt, um den Has anyone tried itTeil der Frage zu beantworten . Ich habe nach anderen Beispielen gesucht, keine gefunden und jetzt habe ich eine Meinung:

Es ist wahrscheinlich keine sehr gute Idee. (nicht der Osterei-Teil, der means of IP protectionTeil). Da die Idee weder originell noch innovativ ist (die Kontexte können unterschiedlich, aber ähnlich sein), gibt es, wenn sie funktioniert, zumindest einige Beispiele.


Vielen Dank für Ihre Antwort. Ich hatte über die MicroVAX-Geschichte gelesen, aber der Kontext ist etwas anders (Hardwareprodukt). Ich stimme der Notwendigkeit zu, den Kunden zu informieren.
Simon Bergot

@ Simon Ich dachte, Sie hätten es gesehen, aber meine Antwort stützte sich darauf, um zu zeigen, dass der bekannteste Präzedenzfall vor langer Zeit in einem völlig anderen Kontext passiert ist. Wenn es Ihnen nicht gelingt, neuere Beispiele für Software zu finden, sollten Sie dies an das Management weitergeben: Es ist vor langer Zeit einmal passiert, seitdem hat es niemand mehr getan, wahrscheinlich weil es eine schlechte Idee ist . Nach meiner Erfahrung ist es möglicherweise die beste Ausrede, wenn das Management solche funky Ideen einbringt, ihnen zu beweisen, dass ihre Idee weder originell noch innovativ ist, sie nicht umzusetzen.
Yannis

Der Unterschied besteht darin, dass das russische Motto anscheinend kein funktionaler Bestandteil des Chips war und daher das Verhalten nicht änderte. Ich möchte mit allem vorsichtig sein, was zu unvorhersehbaren (für den Kunden) Ausgaben in einem eingebetteten Gerät führen kann.
David Thornley

0

Wenn Sie ein Anbieter für einen Hersteller wären, würde ich erwarten, dass dies offengelegt wird, da es "außerhalb des normalen Verhaltens der Software" liegt.

Wenn Ihr Client der Endbenutzer ist, hängt dies davon ab, was die Software tut, wenn der "Code" eingegeben wird.


Wir verkaufen die Software an einen OEM. Wir sollten also transparent darüber sein.
Simon Bergot

0

Ich sehe nichts falsches an einem unbekannten Osterei, solange es äußerst unwahrscheinlich ist, dass ein Benutzer darauf stößt, und wenn es äußerst subtil ist. Wenn jemand darüber stolpern sollte, sollte er es nicht als etwas anderes ansehen als einen subtilen Fehler oder einen kosmetischen Trivialfehler.

Manager haben sich mit mir für Funktionen ausgesprochen, die weit weniger ethisch sind als ein nicht bekannt gegebenes Osterei, grenzwertiges Malware-Material, sodass ich Probleme habe, dies als Problem anzusehen.

In einem von mir geerbten Projekt entdeckte ich eine gigantische irreführende C # -Klasse mit dem Namen UIDataTableColumnRenderer, die mehr als 3 MB groß war. Ich habe ein ganzes Minispiel innerhalb dieser Klasse entdeckt, Bilder und alle base64, die in Strings innerhalb der Klasse codiert sind. Es war im Grunde ein Shooter, bei dem der PC ein Entwickler war, der versuchte, einen unerbittlichen Ansturm von Fehlern und schlecht geschriebenen Anforderungen, die PMs und Produktbesitzer an die Software stellten, abzuschießen. Es war irgendwie lustig, dass es immer schwieriger wurde und man nie gewinnt, schließlich zerstören die Fehler und schlechten Anforderungen die Software und der PC verliert seinen Job.

Es war mit Abstand das schönste Osterei, das ich je gefunden habe.


3
Ich würde ein 3-MB-Osterei auf einem eingebetteten Gerät nicht für harmlos halten.
Yannis

2
@YannisRizos - Dies war eindeutig nicht auf einem eingebetteten Gerät, und wenn es C # war und die Fähigkeit hatte, C # zu verwenden, war die 3-MB-Klasse kein großes Problem.
Ramhound

@ Ramhound Ja, ich weiß, aber die Frage ist im Zusammenhang mit eingebetteter Software.
Yannis

0

Ich bin derjenige, der diesen Auslöser entwickelt. Wenn etwas schief geht, was ist meine Verantwortung?

Sie fordern Sie nicht auf, das Gesetz zu brechen. Ihre Verantwortung liegt nur bei Ihrem Arbeitgeber. Ich würde eine sorgfältige E-Mail schreiben, in der alle Ihre Bedenken aufgeführt werden, damit diese in der Akte enthalten sind. Dann tun Sie, was Ihr Chef Ihnen sagt, oder geben Sie auf.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.