petroskowo.pl

7 21

Dzięki szmer.info/u/TimeNaan@lemmy.wo… mam już wstępną diagnozę tej konkretnej aplikacji.

Chyba będzie o czym rozmawiać z ZT GZM.

Report for pl.assecods.innompa.m2go 1.3.83

F-droid nie łyka APK, F-Droid buduje wszystkie apki ze źródeł :)

To znaczy, że nie można tam wgrać APK, trzeba otworzyć źródła i wskazać repozytorium z kodem f-droidowi. Jeśli obawiają się reverse engineeringu to raczej nie dla nich :/

f-droid.org/en/docs/Inclusion_…

Ten wpis został zedytowany (4 tygodnie temu)
Natomiast całkiem pominęli możliwość pobrania od nich bezpośrednio. Ale wrócę do tego tematu.
1
@licho mmm, ale wtedy wchodzimy w dyskusje o supply chain attack na ich programistów i drogę od nich do Google play store... Versus włamanie na ich serwer i podmianę pliku jaki serwują.
chociaż, dobra, APK i tak jest podpisany, więc klucz by się nie zgadzał 🤔
Edit: ale to dotyczy tylko aktualizacji, nowi by dostali podmienioną paczkę.
Ten wpis został zedytowany (4 tygodnie temu)

@licho

Sam F-Droid tak, ale można przecież dodać zewnętrzne repozytoria. Więc aplikacja może być zamknięta i jednocześnie dostępna w kliencie F-Droida

@8petros

@bimba Tak, prawda. Nie znalazłem informacji czy można we własnym repozytorium publikować AAB czy nie. Wydaje się, że nie.

@licho

Tak. Wygląda, że jeszcze nie

gitlab.com/fdroid/fdroidserver…

gitlab.com/fdroid/fdroidclient…

@8petros

@licho

Swoją drogą czy to nie tak, że aab się publikuje, a na telefonie i tak się instaluje apk? Poprawcie mnie, bo dokładnie nie czytałem, ale instalator obsługuje apk, a aab to bundle z wariantami i assetami wg architektury, rozmiaru ekranu, itd. Nie pasuje mi trochę, żeby telefon miał dostawać całość i wyciągać części. To chyba miało też ograniczyć ilość pobieranych danych.

Mam wrażenie, że to jest jakąś próba zasłonięcia się, może wynikająca z nie zrozumienia czegoś do końca?

@8petros

@bimba przyznam, że nie wiem zbyt wiele na temat tego formatu, ale to co mówisz wydaje się mieć sens. Widziałem program do rozpakowywania tego i w środku też jest apk

@8petros

@Internet. Czas działać! 🌎

Puściłem dla rozgrzewki Rentgen, bardzo fajnie przeczesał ch stronę, ale przy pobieraniu screenów przesłał zip zero bajtów i się wyłączył. Czy to może być coś po Waszej stronie?

Nie muszą nic dodawać, jak kontrolują SDK, platformę dystrybucyjną i OS. (Chyba, że chodzi o malware osób trzecich w GP.)

Signal zrobił tak, że APK od G i z F-Droidowego repo The Guardian Project są kompatybilne.

Może więc rozwiązaniem jest swoje repo?

A jeśli obawiają się RE, to popełnili błąd udostępniając aplikację \s

a jakby zapytać się o kod źródłowy w trybie informacji publicznej…?

WNIOSEK
o udostępnienie informacji publicznej
Na podstawie art.2 ust.1 i art.10 ust.1 ustawy z dnia 6 września 2001r. o dostępie do informacji publicznej wnoszę o udzielenie mi informacji dotyczącej (dokładne określenie rodzaju informacji publicznej):
udostępnienie kodu źródłowego aplikacji XYZ
Jednocześnie na podstawie art.14 ust.1 powołanej ustawy, wnoszę o udostępnienie mi powyższej informacji mailem/pocztą/gołębiem/tamtamami/znakami dymnymi

Janko Muzykant

1
jeszcze jakby system logowania do aplikacji nie był oparty na google chrome :ablobcatbongocry:
jeśli aplikacja została zrobiona za publiczne pieniądze, poproś o kod źródłowy.
1
fajnie by było istnieć w sytuacji, gdzie aplikacje publiczne, czy tam nie-komercyjne, nie zmuszają użytkowników do korzystania z konkretnych serwisów. Tak jak w tym przypadku Google Services, możesz przecież mieć urządzenie, którego soft tego nie dostarcza np GrapheneOS.
może być to jednak w tym przypadku dla nich o tyle trudne, że musieliby trochę implementacje zmienić. O ile widzę ten raport z exodus-privacy i mam
CrashLytics i Firebase Analytics.
To f-droid wyraźnie zaznacza:
“””
We cannot build apps using proprietary tracking/analytic dependencies like Crashlytics and Firebase. Please talk to upstream about an untainted build flavor (either using a FLOSS analytics software like ACRA or by removing Non-Free dependencies completely).
“””
reports.exodus-privacy.eu.org/…
Ja się nawet nie czepiam, że oni f-droida nie chcą. Ale apk na stronie powinni mieć.
@jwolynko Czemu? Akurat brak sklepu i standalone app to średni pomysł - problem z aktualizacjami. Plus dokładasz konieczność utrzymania kolejnego kanału dystrybucji (supply chain attack!).
Jeśli chodzi o "inne" sklepy to zdaje się Huawei ma swój i nie korzysta z Google Play. Może z tej strony? Jeśłi dołożą jakiś inny sklep i oderwą się od Google, to łatwiej będzie o kolejne...
@jwolynko Tylko trzymajmy się faktów, te dwa to część ekosystemu Google i w założeniu mają pomóc developerom. Co więcej, w pierwszym przypadku developerzy mogą dać userom możliwość wyboru.

@jwolynko Wspieranie wszystkich, w tym niszowych OS to utopia. Tym bardziej takich przeznaczonych na wąską grupę urządzeń.

To trochę jakby wymagać, żeby każdy soft posiadał wersję na każdą dystrybucję Linuksa, w tym fork Ubuntu o nazwie Srubuntu, dedykowany dla 586.

@jwolynko Ale developer może chcieć korzystać z FA. I nadal wygląda to na ficzer typu ptaszek przy zgodzie, a nie zmiana sposobu publikowania. Jeśli userowi nie odpowiada, to może blokować domenę, na firewallu, korzytać z wersji web. Serio, jeśli komuś nie pasuje jazda autobusem na ropę, to są inne opcje, niż żądanie autobusów elektrycznych.

Podmiot trzeci? A ISP, a Cloudflare itp.? Użytkownik jest zmuszony oddawać dane!!!111oneone

Ad. Srubuntu - nie miałem na myśli softu open source.

@jwolynko Warto doprecyzować co chcemy uzyskać i dlaczego. Użycie ekosystemu Google ma wiele zalet, zarówno z punktu widzenia developerów, jak i bezpieczeństwa. Każdy dodatkowy system/kanał komunikacji to narzut. Więc tak, to decyzja projektowa. Dlatego obok wspominam o Huawei. Są - w przeciwieństwie do GrapheneOS w powszechnym użytku, są Androidem (a nie pochodną). Aplikacja jest na Android nie pochodną.

Rower jest trochę słabą analogią - duży narzut. Lepszą jest gaśnica w samochodzie

@jwolynko Co do oddawania danych to warto się zdecydować, kto jest zły, kto nie. Bo Google to także DNSy, podobnie Cloudflare. Cloudflare terminuje TLS, więc ma (może mieć) dostęp do odszyfrowanych danych.

Wiara, że Google/CF akurat dane z FA niecnie wykorzysta, ale danych z innych źródeł (DNS) już nie, jest... mało spójna. Wg mnie prywatność to akurat jest słaby argument w tym przypadku.

Znaczy ja bym odpowiedział, że OK, w takim razie korzystaj z WWW skoro FA wadzi.

@intru
guardianproject.info/apps/org.…

Ciężko żeby nie, biorąc pod uwagę licencjonowanie Signala.

Stało się to zaraz po pierwszym Signalgate.

Tylko Google Play cały czas próbuje podłożyć swój update.

discuss.grapheneos.org/d/19496…

@8petros

Czemu boją się RE? Jeśli własność intelektualna, to już były rady o informacji publicznej. Jeśli security - nie tędy droga.

W ogóle to zdanie o łatwiejszym RE wygląda na nieprawdziwe. Nie moja bajka i Android dev by się przydał, ale z opisu AAB wygląda na format pośredni, z którego tworzone są APK dla różnych urządzeń, które są dystrybuowane do końcowych odbiorców.

Jeszcze: maja coś takiego, może tam (lub w przepisach na które się powołują) coś znajdziesz interesującego transportgzm.pl/documents/dekl…

Przy czym jak patrzę na ten dokument, to mają poważniejsze i łatwiejsze do usunięcia problemy, niż pominięcie Google Play. ;-)

1
Dzięki.
Skupiam się na razie na tym, co rozumiem. Jak dołączą mądrzejsze głowy, to pójdziemy szerszym frontem.
Szczerze to dużo nie tracisz, ta aplikacja jest tragiczna.
W sumie taka ciekawostka à propos Transport GZM, złożyłom kiedyś wniosek o kopię danych jakie o mnie mają i dostałom odpowiedź że mi nic nie wyślą bo mają tylko email skoro konto jest niespersonalizowane, a to że korzystałom z podróży start/stop i mają historię jakimi autobusami jechałom to tam drobny szczegół
Traktuję to jako trening przed poważniejszą akcją.
Halo, jestem.
Uderzyłeś w ważny temat. Pisz co jakiś czas to spróbujemy pomóc
1

odnośnie podpisu - aplikacja nie musi być podpisywana podpisem fdroida tylko dystrybuowana przez repo "zgodne" z fdroidem.

Wtedy można aktualizować tą samą apkę z różnych źródeł - w tym google play