Hallo,

ich benutzte seit Jahren Hibiscus mit HBCI/Chipkarte und seit kurzem mit ChipTAN (erstmal optisch, später vielleicht chipTAN USB) unter Linux. Da ich bereits mehrere Distributionen in Benutzung hatte, kenne ich die Verfügbarkeit von Hibiscus in den verschiedenen Paketmanagern.

Ich lade ungern Software direkt von Webseiten herunter, da ich die Benutzung von Packetmanagern für deutlich eleganter und sicherer halte. Für Arch Linux gibt es ein AUR Packet und für Ubuntu ein PPA. Aktuell nutze ich Fedora. Dort gibt es kein COPR und ich musste es manuell über die Webseite herunterladen, die Signaturen per GPG prüfen, die Prüfsumme checken und nach /opt kopieren. Das gleiche Spiel wird sich dann bei jeder neuen Jameica/Hibiscus Version wiederholen. Ich weiss, dass Jameica eine Online-Update Funktion für Hibiscus hat. Dies setzt allerdings vorraus, dass es Schreibzugriff auf das Installationsverzeichnis hat, was unter /opt nicht unbedingt gegeben ist. Außerdem kann es sich nicht selber updaten.
Im Prinzip ist das auch nur eine Krücke, die aus der Windows Welt kommt wo es keine Packetmanager gibt und es üblich ist Software von Webseiten herrunterzuladen.

Wäre es nicht super wenn Hibiscus als flatpak über flathub.org installiert werden könnte? Dann wäre es sofort für alle Distributionen verfügbar inklusive einer vernünftigen Update Methode.

Da ich schon immer einmal den flatpak-builder ausprobieren wollte, werde ich versuchen ein Jameica/Hibiscus-Flatpak zu erzeugen.

Also wenn du magst, kannst du dich gern mit dem Thema beschaeftigen. Wenn die Pakete dort verfuegbar sind, kann ich sie gern in https://www.willuhn.de/wiki/do…ugsquellen mit aufnehmen. Mir selbst fehlt aber die Zeit, Hibiscus und Jameica fuer alle moeglichen Distributionswege bereitzustellen.

Das klingt doch gut. Werde mich dieses Wochenende mal damit beschäftigen.

Bei Flatpak hätte ich aber in Punkto Sicherheit meine Bedenken. Da weiß man nun gar nicht, wer da alles die Finger drin hat.
Und auch bei den Maintainern der Distros passieren Fehler, keine Frage. Aber das muß dann erst mal wieder jemand melden und auch behoben werden.
Gerade bei Jameica und Hibiscus vertraue ich dem Entwickler der Software mehr als irgendwelchen Repos.
Vor allen Dingen werden durch Olaf Willuhn Berichtigungen und Änderungen sofort umgesetzt, schneller als in jedem Repo.

Ist das ein Mehrbenutzer System? Dann wohl /opt, ansonsten wäre das Homeverzeichnis der richtige Ort.

Da muss ich clio Recht geben. Es gibt inzwischen so einige verschiedene Quellen, aus denen Hibiscus installiert werden kann. Zusätzlich zu den unter https://www.willuhn.de/wiki/do…ugsquellen genannten gibt es ja auch noch diverse Download-Portale für Windows (Heise, CNET, u.a.), auf denen Hibiscus ebenfalls heruntergeladen werden kann. Direkt von mir erstellt und signiert sind nur die von www.willuhn.de. Und nur bei diesen Downloads kann ich auch per PGP-Signatur zusichern, dass sie von mir persoenlich erstellt wurden. Ich habe also schon rein technisch gar keine Handhabe, um sicherzustellen, dass die Downloads aus diesen anderen Quellen unversehrt sind bzw. nicht anderweitig geändert wurden - es sei denn, es sind 1:1 die selben Dateien, die man auch von meiner Webseite herunterladen kann, sodass die PGP-Signaturen identisch sind. Insofern obliegt es dem User, dem jeweiligen Download-Anbieter bzw. dessen Signaturen zu trauen.

Also bei den AUR-Packeten von Archlinux ist es so, dass die PGP-Schlüssel vom User vorher installiert werden müssen und bei der Installation geprüft werden. Das wäre quasi der optimale Weg um sicherzustellen, dass es die Original Packete ohne Manipulation sind.

Bei allen anderen Wegen (wie normale Distributionspackete, Ubuntu's PPA, Fedora's COPR) muss eigentlich immer dem Maintainer vertraut werden, da zwar die Packete selbst meist signiert sind, aber nicht mehr die Original-Signatur vorhanden ist.

Ähnlich ist es wohl auch bei Flatpaks. Lese mich gerade erst darin ein, aber jedes Flatpak, dass über den flatpak-builder erzeugt wird, muss auch per GPG signiert sein um in ein Repository aufgenommen werden zu können. Diese Signatur sollte dann im Optimalfall auch von Herrn Willuhn stammen, was aber bedeutet er müsste auch das flatpak erstellen und hochladen.

Ich könnte daher eigentlich nur anbieten die Manifest-Datei zu erstellen. Das ist der Bauplan für das flatpak. Ich habe schon eine fast funktionierende. Diese brauch dann nur mit dem flatpak-builder aufgerufen zu werden und es entsteht das fertige flatpak mit richtiger Signatur.

Allerdings fehlt Ihnen ja die Zeit für zusätzliche Distributionswege und sonst kann das eigentlich niemand übernehmen, wegen eben dieser Signaturproblematik.