Zitat geschrieben von Samuel192
....Aus dem F-Droid-Store?
Wirklich aus dem F-Droid-Store? Ist das dein Ernst?
Das kann man doch nicht ohne Disclaimer schreiben. Später glaubt das noch jemand.
Ich bin noch immer fassungslos, aber versuchen wir es mal...
Werden meine Beiträge hier jetzt neustens vorzugsweise mit "ironisch-herabsetzendem belehrenden Unterton" kommentiert? Denn genau so kommt das hier an. Dann kann ich mir ja zukünftige Beiträge verkneifen und meinen Aufwand dazu sparen ...
Ja, das ist mein Ernst. Man muss dem Store-Betreiber etwa ebenso vertrauen wie dem Entwickler, denn der Store nutzt dessen Code und baut die Anwendung selbst erneut aus diesem Code.
Der Store ist aus meiner Deines Erachtens unmaßgeblichen Sicht nicht schlechter als der Google-Store, der auch nicht nur einmal malware oder anderweitige Spyware verteilt hat. Zudem ist der Code im Google Store vom Entwickler "komplett" geliefert und kann weder von Google noch vom sachkundigen Anwender tatsächlich verifiziert werden.
Ein u.a. mit Sicherheitsaudits befasster Spezialist hat das zuletzt mal
so formuliert:
Zitat
.. ist grundsätzlich jeder Download und Installation einer Software aus dem Netz ein Sicherheitsrisiko. Die Quelle spielt hierbei keine Rolle. Wir haben alles schon gehabt:
Es gelingt jemandem in ein Repository Code einzuschleussen, die Store-Betreiber übersehen Malware -teilweise bei x-Anwendungen die in einem Rutsch entfernt werden müssen-, lange als vertrauenswürdig geglaubte Software entpuppt sich als Projekt eines unseriösen Betreibers, Projekt wird an Mister-X verkauft, usw. usf.
Von allen derzeit frei verfügbaren Quellen für Software, die ohne weiteren Aufwand Software und regelmäßig Infos zu verfügbaren Updates liefern (App-Stores), ist F-Droid mit Sicherheit eine der vertrauenswürdigsten Plattformen. Die installierte Software wurde aus öffentlichen Quellen gebaut.
Das Risiko beschränkt sich somit im wesentlichen auf Fehler im Source-Code und einen -urplötzlich vom Wege abkommenden- unzuverlässigen Betreiber. ....
F-Droid baut die Apps aus dem Quellcode selbst und die können nix dazu, wenn das Entwicklerkonto bspw. bei github oder sonstwo nicht mehr sicher ist und der Code evtl. infiltriert wurde. Und ist das Entwicklerkonto mal kompromittiert, dann nutzt auch die kryptografische Kette vom Entwickler zum Anwender nix, weil in den Anfang der abgesicherten Kette bereits die malware reingekippt wurde.
Ja - und NATÜRLICH kommen die Apps WEGEN der manuellen Reviw-Prozesse später, das ist ja der Sinn. In dem Kontext von einem "gravierende<n> Security-Risiko" zu sprechen, ist meines Erachtens weit überzogen. Folgt man Deinem rat, müsste man alle Repos von denen man eine App bezogen hat, ständig abklappern um neue Versionen zu finden (oder wieder eine App dazu zu nutzen, wo man wiede rbeim Thema ist). In der Zeit ist der Code auch bei F-Droid durch. Und längst nicht jeder Fix hat zudem was mit Sicherheitslöchern zu tun..
Die üblichen "Diskussionen" finden sich überall, auch zum Google-Store. Und zudemsollte man sich bei manchen "Diskussionen" fragen, warum, zu welchem Nutzen und vor allem in welchem Interesse diese angestoßen wurden und werden.
Da liegt manchmal die Mutmaßung nicht weit, ob diese gezielt eröffnet oder befeuert wird, um den F-Droid-Store als Konkurrenz (bspw. zum Google-"Play"- App-Store) zu diskreditieren.
Dazu zählt u.a. der link in Deinem Beitrag zur Seite "privsec.dev". Dort im
"about" ist bspw für den Admin "Tommy" zu lesen: "Benevolent dictator for life @PrivSec.dev."
Wer das tatsächlich ist, wird nicht genannt. Ist das seriös? Die andere Person bleibt noch nebulöser, es wird auch von einer "Gruppe" gesprochen, obwohl nur zwei Personen anonym angeführt werden, zudem müssen sie sich mit dem folgenden Satz von einer seriösen und etablierten Organisation abgrenzen:
Zitat
Also, to avoid any confusion, we are not affiliated, associated or in any way connected with the PrivSec Global Conference.
Wie soll man nun mit meinungen solcher "begriffstrittbrettfahrende Seitenbetreiber" umgehen? Am besten nicht zu ernst nehmen ... und bei persönlich bekannten qualifizierten Menschen nachhaken.
Im gegensatz zu dieser und anderen Seite hat F-Droid wenigstens überhaupt eine ordentliche Mitarbeiterauflistung, was man von den meisten <github-oder-sonstwelche>-Repositories meistens nicht sieht.
Meine Meinung, ernsthaft.
