3 Punkte von GN⁺ 2024-10-25 | 2 Kommentare | Auf WhatsApp teilen
  • Der Commit db648d7 in Bitwarden sdk-internal ist eine Änderung zur Bereinigung der Formulierungen rund um die SDK-Lizenz; auf HN wurde er als Fall einer Umlizenzierung von proprietärer Lizenz auf GPLv3 behandelt
  • Die Root-LICENSE wurde mit 295 gelöschten und 20 hinzugefügten Zeilen weitgehend ersetzt, und die neu hinzugefügten Dateien LICENSE_GPL.txt und LICENSE_SDK.txt bilden nun den Kern der Lizenzstruktur
  • Der Rust-Workspace nimmt bitwarden_license/* als Mitglieder auf und verschiebt den Abhängigkeitspfad von bitwarden-sm nach bitwarden_license/bitwarden-sm
  • Beim Crate bitwarden-sm ist die Verzeichnisverschiebung die wesentliche Änderung; mehrere src-Dateien wurden ohne inhaltliche Änderungen umbenannt
  • bitwarden-sm/Cargo.toml verweist nicht mehr auf gemeinsame Workspace-Werte, sondern direkt auf ../../LICENSE_SDK.txt und legt damit die Lizenzdatei dieses Crates explizit fest

Was sich im Commit geändert hat

  • Der Commit-Titel von bitwarden/sdk-internal lautet „Improve licensing language
  • Der HN-Titel stellt diese Änderung als „Bitwarden SDK von proprietärer Lizenz auf GPLv3 umlizenziert“ vor
  • Im GitHub-Diff sind sowohl der Austausch von Lizenzdateien als auch Änderungen an der Rust-Workspace-Struktur enthalten

Neuaufbau der Lizenzdateien

  • Die Root-Datei LICENSE ist mit 20 hinzugefügten und 295 gelöschten Zeilen markiert
    • GitHub rendert große Diffs standardmäßig nicht vollständig, daher wird der komplette Inhalt im Hauptteil nicht angezeigt
  • Die neue Datei LICENSE_GPL.txt wurde hinzugefügt
    • Der Änderungsumfang beträgt 674 hinzugefügte, 0 gelöschte Zeilen
  • Auch die neue Datei LICENSE_SDK.txt wurde hinzugefügt
    • Der Änderungsumfang beträgt 295 hinzugefügte, 0 gelöschte Zeilen
  • In der Liste der geänderten Ziele sind auch LICENSE_GPL.txt auf Kotlin- und Swift-Seite enthalten
    • languages/kotlin/sdk/src/main/resources/META-INF/LICENSE_GPL.txt
    • languages/swift/LICENSE_GPL.txt

Änderung der Rust-Workspace-Pfade

  • Die Workspace-Mitglieder in der Root-Cargo.toml wurden erweitert
    • Bisher: members = ["crates/*"]
    • Neu: members = ["crates/*", "bitwarden_license/*"]
  • Auch der Pfad der Workspace-Abhängigkeit bitwarden-sm wurde geändert
    • Bisher: crates/bitwarden-sm
    • Neu: bitwarden_license/bitwarden-sm
  • Damit wird bitwarden-sm nicht mehr unter crates, sondern unter bitwarden_license referenziert

Verschiebung von bitwarden-sm und Lizenzzuweisung

  • crates/bitwarden-sm/Cargo.toml wurde in bitwarden_license/bitwarden-sm/Cargo.toml umbenannt
  • Die Art der Lizenzangabe in bitwarden-sm/Cargo.toml wurde geändert
    • Bisher: license-file.workspace = true
    • Neu: license-file = "../../LICENSE_SDK.txt"
  • Das betreffende Crate verwendet damit nicht mehr die gemeinsame Konfiguration der Workspace-Lizenzdatei, sondern verweist direkt auf LICENSE_SDK.txt

Diff näher an Pfadumstrukturierung als an Codeänderungen

  • Mehrere Rust-Quelldateien von bitwarden-sm wurden ohne inhaltliche Änderungen verschoben
    • client_projects.rs
    • client_secrets.rs
    • lib.rs
    • projects/create.rs
    • projects/delete.rs
  • Im Dateibaum werden auch projekt- und secret-bezogene Module als nach bitwarden_license/bitwarden-sm/src verschobene Ziele angezeigt
  • Die im Hauptteil gezeigten Rename-Einträge konzentrieren sich nicht auf Codeänderungen, sondern auf Pfadumstrukturierung und Änderungen an der Lizenzstruktur

2 Kommentare

 
unsure4000 2024-10-25

Freifahrtschein ++;

 
GN⁺ 2024-10-25
Meinungen auf Hacker News
  • Erleichterung. Das Unternehmen hätte vielleicht irgendwie überlebt, aber es wäre kaum noch eine Firma geblieben, die Entwickler mögen, und der Preis dafür wäre hoch gewesen.
    Ich hoffe, Bitwarden hat erkannt, dass der Status als freie/Open-Source-Software (FOSS) ihr Wettbewerbsvorteil ist und ihnen viel Wohlwollen einbringt. Genau deshalb nutze ich überhaupt ein Produkt, das nicht in jeder Hinsicht das allerbeste ist.
    Solange es FOSS war, ließ sich die kühne Behauptung „der vertrauenswürdigste Passwortmanager“ bis zu einem gewissen Grad rechtfertigen; ohne FOSS gilt das, selbst wenn man KeePass außen vor lässt, überhaupt nicht.
    Ich bin mir immer noch nicht sicher, wie ich dieses Unternehmen einschätzen soll. Ich habe nun etwas Vertrauen, dass die App freie Software bleiben wird, aber mein Vertrauen in das Unternehmen selbst hat etwas gelitten, und ich habe noch keine offizielle Kommunikation gesehen.
    Ich sehe nicht, wie eine Investition von 100 Millionen US-Dollar langfristig gut für die Nutzer sein soll. Das wahrscheinlichste Ergebnis scheint Funktionsaufblähung oder eine Verschlechterung des Dienstes zu sein.
    Bitwarden wirkt nicht leicht zu forken. Es ist ein komplexes System in C#, und die Existenz von Vaultwarden hilft zwar sehr, aber die Client-Apps sind noch einmal ein anderes Thema.
    Als Schutzmechanismus gegen nutzerfeindliches Verhalten ist nach Open Source selbst die Forkbarkeit am wichtigsten. Trotzdem hoffe ich, dass es gut ausgeht. Ich habe vor Kurzem angefangen, Bitwarden zu nutzen, und die User Experience war bisher deutlich besser als bei KeePass.

    • Ich bin vorsichtig optimistisch, mache mir aber weiterhin Sorgen um die langfristige Richtung.
    • Es ist zwar nicht so gut, wie wenn der Open-Source-Charakter von Anfang an nie infrage gestanden hätte, zeigt aber auch, dass sie bereit sind, Feedback anzunehmen und Dinge zu überdenken, wenn Kunden aufbegehren. Außerdem ist es eine alte Geschichte.
    • Es gab Kommunikation auf GitHub oder in offiziellen Kanälen. Offensichtlich wirkt es so, als sei das Abhängigkeitsproblem übertrieben worden.
  • Danke an Bitwarden, dass sie diesen Teil wieder auf eine freie/offene Lizenz umgestellt haben.
    Allerdings empfehle ich Bitwarden normalen Nutzern nicht mehr, weil der integrierte Passwortmanager von Firefox inzwischen gut genug geworden ist.
    Trotzdem empfehle ich Bitwarden immer denen, die erweiterte Funktionen brauchen oder dem im Webbrowser integrierten Passwortmanager nicht vertrauen. KeePassXC mit Synchronisierung auszustatten, ist für normale Nutzer zu schwierig.

    • Auch normale Nutzer brauchen oft einen Manager für geheime Informationen mit größerem Umfang als ein Tool, das nur Website-URLs und Passwörter speichert.
      Zum Beispiel braucht man einen Ort in einem verschlüsselten Speicher für Geheimnisse, die keine Websites sind: Antworten auf Sicherheitsfragen, zugehörige E-Mail-Aliasse oder die PIN des Handys des Ehepartners.
      Der Firefox-Passwortmanager ist zu simpel, weil er nur die zwei Felder „Benutzername“ und „Passwort“ hat. Eine bessere User Experience für normale Nutzer ist nicht, einige Geheimnisse in Firefox und den Rest in einer anderen App zu speichern, sondern alle Geheimnisse in einer einzigen App zu bündeln.
    • Ich hatte immer das Gefühl, dass browserbasierte Passwortmanager für die meisten Menschen einen eher geringen Mehrwert bieten.
      Auf Mobilgeräten sind sie umständlich, plattformabhängig, und lokal gespeicherte, nicht synchronisierte Daten kann man leicht verlieren. Die Nutzung über mehrere Geräte hinweg ist ebenfalls komplizierter, besonders im Arbeitsumfeld.
      Umgekehrt verstehen Menschen in der Regel gut, dass sie auf jedem Gerät eine App installieren und diese App das für sie erledigt.
    • Wenn Mozilla eine separate Passwort-App herausbrächte, mit der man Passwörter auch außerhalb von Firefox verwalten und abrufen kann, wäre sie wohl besser mit Bitwarden vergleichbar.
      Dann wären Passwörter kein reines Firefox-Feature mehr, sondern Teil des Mozilla-Kontos. Bitwarden ist an genau dieser Stelle stark und kommt dem Modell nahe, das es zu schlagen gilt.
      Mozilla hätte zwar den Vorteil, dass Browser-Integration praktisch als erstklassiges Feature eingebaut ist, aber wenn man nicht ausschließlich Firefox nutzt, wirkt ein einzelner Browser kaum wie der passende Ort für die Passwortverwaltung.
      An Bitwarden gefällt mir, dass der Passwortzugriff auch bei geöffnetem Browser „gesperrt“ bleiben kann. Als ich früher nachgesehen habe, musste man bei Firefox beim Start das Master-Passwort eingeben, selbst wenn man gerade kein Passwort brauchte; schon dass das Entsperren des Tresors an den Browserstart gekoppelt war, war für mich ein Grund, es aufzugeben.
    • Schön, dass Bitwarden das schnell gelöst hat. Zumindest für mich ist der Firefox-Passwortmanager kein Ersatz.
      Bitwarden ist in meiner Firma freigegeben, kann selbst gehostet werden und unterstützt Logins für unzählige Apps über Browser und Mobilgeräte hinweg.
      Ob mobile App, mobile Website oder Browser-Website: Es funktioniert im Allgemeinen gut. Außerdem kann man beliebige Informationen wie Kreditkarten, sichere Notizen, Groß-/Kleinschreibung bei Antworten auf Sicherheitsfragen sowie Kontowiederherstellungs- und Login-Informationen speichern, was ziemlich gut ist.
    • Ich nutze sowohl Bitwarden als auch Firefox, würde aber dringend davon abraten, den Firefox-Passwortmanager zu verwenden.
      Weißt du, dass die Tab-Synchronisierung von Firefox zwischen Geräten kaputt ist? Sie ist seit dem 24. August defekt und immer noch nicht behoben. https://bugzilla.mozilla.org/show_bug.cgi?id=1913795
      Wenn sie nicht einmal Tabs zwischen Geräten synchronisieren können, fällt es mir schwer, ihnen meine Passwortsynchronisierung anzuvertrauen.
  • Es ist gut zu sehen, dass Bitwarden hier den Kurs korrigiert hat. Da ich nicht gerade darauf erpicht war, zu einem anderen Passwortmanager zu wechseln, bin ich ziemlich zufrieden.

    • Geht mir genauso. Ich bin Bitwarden-Abonnent, habe mich aber wegen des Lizenzwirbels zuletzt nach Alternativen umgesehen.
      Einen Passwortmanager zu wechseln ist lästig, daher bin ich froh, dass ich jetzt nicht mehr das Gefühl habe, unbedingt umziehen zu müssen.
  • Bitwarden ist immer noch großartig, aber man sollte es in den nächsten Jahren beobachten. Man sollte nicht vergessen, dass Bitwarden ursprünglich als Alternative gestartet ist, um die seltsamen Entwicklungen bei LastPass zu vermeiden.

    • Die seltsamen Entwicklungen bei LastPass liegen lange zurück und waren ehrlich gesagt gravierend.
      Ich weiß allerdings nicht, warum dieser Git-Commit verlinkt wurde. Ich würde lieber die entsprechende Diskussion sehen. https://github.com/bitwarden/clients/issues/11611
    • Ich sehe es immer noch als eine solche Alternative. Ehrlich gesagt ist es sogar besser geworden.
      Als Beleg: Bitwarden ist der Passwortmanager, den gesponserte YouTuber nicht empfehlen, nicht gesponserte YouTuber aber immer.
    • 1Password ist proprietäre Software, hat aber meines Wissens bisher keine seltsamen Manöver hingelegt. Ich war mehrfach versucht, auf eine Open-Source-Lösung umzusteigen, aber ich denke, ich bleibe noch ein paar Jahre dort.
  • Danke an Bitwarden, dass sie zugehört haben. So etwas gibt auch dem Open-Source-Geschäftsmodell Hoffnung.

  • Zugehöriger Link: https://github.com/bitwarden/clients/issues/11611#issuecomme...
    Frühere Diskussion: https://news.ycombinator.com/item?id=41893994

    • Danke. Ich hatte diese Nachricht verpasst und mich durch mehrere Kommentare gequält, um den Kontext zusammenzubekommen
  • Ich finde, das wurde ziemlich effektiv und auf eine Open-Source-typische Weise gehandhabt. Gut, dass es ohne seltsame Tricks gelöst wurde; dadurch bleibt mir der lästige Umzug weg von Bitwarden erspart

  • Ganz erledigt ist es noch nicht. Ein Teil wurde neu lizenziert, aber ein Teil bleibt unter der alten Lizenz für nicht-freie Software-SDKs
    Beispiel: https://github.com/bitwarden/sdk-internal/commit/db648d7ea85...

    • Die Teile, die nicht unter GPLv3 stehen, scheinen für das separate Produkt Secrets Manager zu sein. Dieses Produkt scheint nicht als Open Source beworben zu werden
      Bitwarden war schon immer Open Core und nicht vollständig GPLv3, und das ist nachvollziehbar. Am Ende brauchen sie ja etwas, das sie verkaufen können
  • Dass sie sich in die richtige Richtung bewegt haben, kann man anerkennen. Ein paar Tage lang war überhaupt nicht klar, wie Bitwarden reagieren würde

    • Wenn man auf diese Weise weiter erst einmal misstrauisch ist, wird das nächste Unternehmen es gar nicht erst versuchen
      Es ist eines der wenigen Unternehmen, die ihr Produkt als Open Source veröffentlichen. Jetzt ist wirklich noch nicht der Zeitpunkt für Misstrauen und Belehrungen
  • Eine erfreuliche Änderung. Trotzdem bleibt der Eindruck, dass man bei der Lizenzierung zu clever sein wollte. Besonders die Art, GPL-Code und proprietär lizenzierten Code zu kombinieren, scheint die eigentliche Ursache dieses Wirbels zu sein
    Das Open-Core-Modell passt besser zu Hosting-Diensten, die keine Artefakte ausliefern, in denen GPL- und proprietärer Code zusammengeführt sind. Open Core im Client-Code zu betreiben, wirkt wie ein Einfallstor für Missverständnisse und Verwirrung
    Ich hoffe trotzdem, dass es gut ausgeht. Es ist ein gutes Produkt