Die Signatur-Problematik bei F-Droid ist offenbar noch immer nicht gelöst: “We find it concerning that F-Droid constantly chooses to move the goalposts and continues to rely on a fundamentally broken approach for certificate pinning, merely patching [15] known vulnerabilities without ever addressing the underlying cause.” 😵👇
https://github.com/obfusk/fdroid-fakesigner-poc?tab=readme-ov-file#update-2025-01-19
#fdroid #security #privacy #certpinning #signature
@[email protected] Nein, denke ich nicht: https://www.openwall.com/lists/oss-security/2025/01/20/1
@[email protected] @[email protected] https://github.com/obfusk/fdroid-fakesigner-poc?tab=readme-ov-file#update-2025-01-22
@[email protected] @[email protected] @[email protected] Update online :mastodance:
@[email protected] Umpf… Eine als PRIVAT markierte Nachricht einfach so auf eine News-Seite zu stellen, ohne zu fragen, ist aber schon ein wenig… err… merkwürdig. Ich hatte Dir die Infos extra privat zugeschickt. Kannst Du bitte die Quelle entsprechend redigieren? Ich will hier keinen Flamewar lostreten, habe Dir nur die Infos, vertraulich, zukommen lassen. Als Quelle kannst Du einfach den POC benennen, aus dem die Screenshots ja kommen.
@[email protected] Oops, war nicht meine Absicht, dachte, du wolltest das loswerden. Hab auch nix sensibles darin gesehen… sorry!!
Gib mir zwei Minuten
@[email protected] ja, schon. Aber wenn da “IzzyOnDroid” drunter steht, schaut das nach “IzzyOnDroid gegen F-Droid” aus. Und das ist es definitiv NICHT. Bin Dir jetzt nicht böse (naja, ein wenig schon) – aber im Journalismus benennt man vertrauliche Quellen nicht, ohne sie vorher danach zu fragen.
Ist halt eine Scheiß Situation, und ich möchte einfach nicht, dass sie als “persönlicher Konflikt” fehlinterpretiert wird. Gibt da schon genug Stress. Siehe z.B. https://gitlab.com/fdroid/admin/-/issues/447
@[email protected] Nochmals sorry! Bin ja ein blutiger Amateur… Kommt nicht wieder vor!
Ich wusste ja, dass die Jungs ihren eigenen Kopf haben, aber wahrscheinlich mach ich mir da keine Vorstellung…
So, Update ist online. So sollte es gehen, denke ich.
Plausible sagt , Stats unverändert, sollte also noch masl gut gegangen sein.
:hacker_s: :hacker_o: :hacker_r: :hacker_r: :hacker_y:
@[email protected] shit happens – und Du machst Dir da wahrscheinlich wirklich keine Vorstellung. Wir könnten bei IzzyOnDroid schon so viel weiter sein, wenn wir nicht ständig dort Sachen korrigieren und “misleading statements” richtigstellen müssten (wie gerade jetzt im POC).
Oh, und die Screenshot-Dateien sollten vielleicht nicht gerade “izzy-*.png” heißen 😉
@[email protected] Worauf man alles achten muss. Kein Wunder, dass der Durchschnittsjournalist das nicht hinkriegt.
@[email protected] TL;DR: bitte entferne IzzyOnDroid als Quelle bei “POC”, und verlinke da stattdessen zum POC selbst. https://github.com/obfusk/fdroid-fakesigner-poc?tab=readme-ov-file#update-2025-01-22 war in meinem public post.
Du kannst gern erwähnen mich gefragt zu haben, wie wir das bei IzzyOnDroid handhaben – und dann das “Bei IzzyOnDroid verwenden wir zwar…” zitieren (einfach ohne das einleitende “PS” – der Text passt ansonsten.
@[email protected] Hat sich überschnitten. Aber zufällig hab ichs genau so gemacht 😊
@[email protected] Da steht noch immer “By IzzyOnDroid” unter den Screenshots, mit Link auf meinen Mastodon-Account. Braucht wohl noch ein wenig (CDN oder so)?
@[email protected] Bin schon dran