Je vais faire fi de la simplification douteuse que vous faites de ma vision de la sécurité, car non, ça ne se résume pas à une "chaîne de confiance cryptographique". Il ne faut pas tout mélanger, même si effectivement ce journal était déjà la preuve d'un désaccord fondamental.
Vous partez également du postulat que la disponibilité publique du code source est une nécessité pour être audité. C'est simplement faux, ce serait oublier que le code source peut être disponible sur demande, que l'ingénierie inverse existe, et plus particulièrement dans le domaine dans le sécurité des outils comme le fuzzing et les MITM. Avoir le code source c'est bien, mais étudier le code qui est distribué, c'est tout à fait possible. Ce billet résume assez bien ma pensée : https://seirdy.one/2022/02/02/floss-security.html
Il n'y a rien à voir avec une "solution cryptographique" là-dedans, c'est simplement comment les choses fonctionnent dans la vie réelle.
Alors accuser F-Droid de "weakening the Android security model", ouais, c’est biaisé et un peu génant quand même. De toutes les applis signées par leurs développeurs disponibles sur le Play Store, il n’y en a pas beaucoup que j’installerais sans craindre pour la sécurité de mes données et de ma vie privée.
Biaisé par rapport à votre vision de la sécurité informatique, peut-être, mais certainement pas biaisé par rapport à la documentation qui fait état du modèle de sécurité d'Android et des device/user management APIs qui considèrent qu'un store = une source et pas autrement. F-Droid court-circuite fondamentalement cela. Il n'y a rien de compliqué à comprendre, et ça n'a rien à voir avec le débat que j'évoque ci-dessus en soi. Je veux idéalement des solutions FOSS qui ne font pas des compromis qui ne sont pas nécessaires.
Sur un site avec un lectorat (au moins en grande partie) libriste, forcément ça passe mal.
Je n'ai jamais demandé à ce que mes articles soient publiés ici, car je sais d'avance que le lectorat libriste a ses propres valeurs qui ne sont pas les miennes. Bien évidemment, je ne peux contrôler comment mes articles sont partagés donc encore une fois, je n'en veux pas aux personnes de mal réagir. Je déplore simplement une perte de temps des deux côtés, et, de mon côté en tout cas, parfois de la stupéfaction et de la déception.
[^] # Re: Désaccord de principe
Posté par Wonderfall (site web personnel) . En réponse au lien F-Droid: how is it weakening the Android security model ?. Évalué à 0. Dernière modification le 27 février 2022 à 13:18.
Je vais faire fi de la simplification douteuse que vous faites de ma vision de la sécurité, car non, ça ne se résume pas à une "chaîne de confiance cryptographique". Il ne faut pas tout mélanger, même si effectivement ce journal était déjà la preuve d'un désaccord fondamental.
Vous partez également du postulat que la disponibilité publique du code source est une nécessité pour être audité. C'est simplement faux, ce serait oublier que le code source peut être disponible sur demande, que l'ingénierie inverse existe, et plus particulièrement dans le domaine dans le sécurité des outils comme le fuzzing et les MITM. Avoir le code source c'est bien, mais étudier le code qui est distribué, c'est tout à fait possible. Ce billet résume assez bien ma pensée : https://seirdy.one/2022/02/02/floss-security.html
Il n'y a rien à voir avec une "solution cryptographique" là-dedans, c'est simplement comment les choses fonctionnent dans la vie réelle.
Biaisé par rapport à votre vision de la sécurité informatique, peut-être, mais certainement pas biaisé par rapport à la documentation qui fait état du modèle de sécurité d'Android et des device/user management APIs qui considèrent qu'un store = une source et pas autrement. F-Droid court-circuite fondamentalement cela. Il n'y a rien de compliqué à comprendre, et ça n'a rien à voir avec le débat que j'évoque ci-dessus en soi. Je veux idéalement des solutions FOSS qui ne font pas des compromis qui ne sont pas nécessaires.
Je n'ai jamais demandé à ce que mes articles soient publiés ici, car je sais d'avance que le lectorat libriste a ses propres valeurs qui ne sont pas les miennes. Bien évidemment, je ne peux contrôler comment mes articles sont partagés donc encore une fois, je n'en veux pas aux personnes de mal réagir. Je déplore simplement une perte de temps des deux côtés, et, de mon côté en tout cas, parfois de la stupéfaction et de la déception.