Also es scheint in dem bereich zwei (mehr oder weniger) frei lizensierte produkte zu geben https://www.passbolt.com/ (PHP, AGPLv3) und https://bitwarden.com/ (C#, AGPLv3).
Beide haben so “premium” features bei denen nicht ganz klar is wie die sich das vorstellen wenn das zeug ja GPLv3 lizensiert is. Da gibts dann diesen netten paragraphen in der lizenz:
- Protecting Users’ Legal Rights From Anti-Circumvention Law.
No covered work shall be deemed part of an effective technological
measure under any applicable law fulfilling obligations under article
11 of the WIPO copyright treaty adopted on 20 December 1996, or
similar laws prohibiting or restricting circumvention of such
measures.[…]
vl. gehts halt wirklich nur darum die user ins zahlen zu nudgen, das wär ja soweit ok *shrug*
Zu bitwarden:
Laut install guide phone’t das ding ziemlich home, nicht sicher ob man das will:
Installation Id/Key
Each Bitwarden installation requires a unique installation id and installation key. The installation id and key is used to:
- Register your installation and contact email so that we can contact you in case of important security updates.
- Validate licensing of paid features.
- Authenticate to push relay servers for push notifications to Bitwarden client applications.
siehe auch https://help.bitwarden.com/article/licensing-on-premise/ wegen dem licensing zeug.
Z.b. hab ich das im server code gefunden:
public static bool RequiresPremium(TwoFactorProviderType type)
{
switch(type)
{
case TwoFactorProviderType.Duo:
case TwoFactorProviderType.YubiKey:
case TwoFactorProviderType.U2f:
return true;
default:
return false;
}
}
Also schaut irgendwie so aus als könnte man da dann theoretisch einfach die restriktionen rauspatchen ;) Aber es kann auch sein dass du mit dem premium zeug noch irgendwleche API keys bekommst die die codebase dann irgendwo braucht. Müsste man einfach mal ausprobieren.
Zu passbolt
Die haben zumindest einen self-hosted paid-plan wo du zwar pro-monat zahlst und support bekommst aber trozdem die software anscheinend unter AGPLv3 is. Das fänd ich jetzt eigendlich ganz ok. Is halt in PHP geschreiben
Wenn ich das richtig seh haben sie zwei repos einmal passbolt_api und passbolt_pro_api (auf bitbucket statt github, wiso auch immer) letzteres is halt das was installiert wird wenn du ihren self-hosted install guides folgst:
- GitHub - passbolt/passbolt_api: Passbolt Community Edition (CE) API. The JSON API for the open source password manager for teams!
- Bitbucket (gefunden im self-hosting install script)
Die history schaut ziemlich divergent aus aber im prinzip scheint das pro ding nur nen haufen plugins dazu zu hauen. Lizenz is bei beiden gleich AGPLv3 auch beim pro https://bitbucket.org/passbolt_pro/passbolt_pro_api/src/master/LICENSE.txt.
Im pro repo findet man einen pgp-pubkey mit dem sie den subscription key verifizieren:
Code dazu is im Bitbucket
Ich seh jetzt nicht was mich davon abhält den PGP signatur check einfach zu ignorieren, vorallem nicht die lizenz eben.