Noen av dere har kanskje skjønt at jeg er over middels interessert i både værtjenester og kalenderapplikasjoner, og igår kom jeg over en tjeneste jeg ville teste ut. Resultatet bød på et par overraskelser, så jeg er glad for at dette ikke var en nettbank...

Tjenesten leverte data på den noe marginaliserte protocollen webcal://, og den støttes ikke ut-av-boksen hverken av Internet Explorer, Firefox eller av cygwin sin wget-kommando, så jeg hadde en liten utfordring. Så tenkte jeg at jeg skulle prøve http:// istedet, så jeg endret ganske enkelt adressen fra webcal://blablabla.ics til http://blablabla.ics, og vips så fikk jeg lastet ned kalenderdataene. Men - da jeg skulle se på den lagrede ics-filen fikk jeg en liten overraskelse, for det jeg fant var ikke en icalendar-fil med kalender-data, men derimot et php-script! Ja, jeg hadde faktisk fått lastet ned kildekoden til tjenesten istedet for dataene som tjenesten skulle levere...

Dette var første overraskelsen. Her satt jeg med den komplette kildekoden til tjenesten som jeg, hvis jeg ville, raskt kunne tilpasse og legge ut som min egen tjeneste. Nå vil du kanskje hevde at dette ikke er noe problem; åpen kildekode er trenden, og det kan da umulig være problematisk å dele denne koden med meg og andre. Vel - åpen kildekode er et særdeles bra konsept som jeg støtter helhjertet, men for det første var ikke intensjonen til dette firmaet å dele koden, og for det andre finnes det applikasjoner og tjenester man ikke bør brette ut for almennheten. Å gjøre kildekoden til en nettbank åpent tilgjengelig vil f.eks. være særdeles lite smart, av åpenbare sikkerhetsårsaker. At dette firmaet hadde en grov feil i sin løsning som eksponerte kildekoden utilsiktet er nok ikke et stort problem i praksis, men det er å håpe at leverandører av forretningskritiske tjenester har et litt mer bevisst forhold til sikkerhet enn dette firmaet. Heldigvis vet jeg at norske banker jobber målbevisst og intenst med sikkerhet hver eneste dag.

Den andre overraskelsen kom da jeg faktisk leste gjennom kildekoden. Det viste seg at denne tjenesten i praksis bare kallte en annen tjeneste hos en anerkjent internasjonal leverandør av værdata. Vel - ikke bare: Før den leverte resultatene ut til sluttbrukeren fjernet den alle referanser til original-leverandøren, dvs. firmanavn, copyright, nettadresser etc og byttet ut med sine egne firmadata. Dette var altså en ren "screen-scraping" av en annen leverandørs nettjeneste for så å utgi seg for å være den originale leverandøren av disse dataene. Da jeg sjekket betingelsene for bruk av den originale værtjenesten viste denne tilnærmingen seg å være et grandiost overtramp av kopi-rettighetene.

Jeg tok en nærmere kikk på nettsiden til leverandøren av den famøse tjenesten, og det viste seg at de nok er out-of-business, og det er nok like bra...