Beim Lesen des zugehörigen Issues zur Signaturproblematik bei F-Droid habe ich den Eindruck, dass das Problem dort entweder nicht verstanden oder heruntergespielt wird. Das ist besorgniserregend.

Mike Kuketz 🛡@social.tchncs.de · 5 days ago

Beim Lesen des zugehörigen Issues zur Signaturproblematik bei F-Droid habe ich den Eindruck, dass das Problem dort entweder nicht verstanden oder heruntergespielt wird. Das ist besorgniserregend.

Mike Kuketz 🛡@social.tchncs.de · 5 days ago

@pixelschubsi@troet.cafe @stefanjahn@freiburg.social @marcelklehr@fosstodon.org Ich interpretiere das anders: "Instead of adopting the fixes we proposed, F-Droid wrote and merged their own patch [10], ignoring repeated warnings it had significant flaws (including an incorrect implementation of v1 signature verification and making it impossible to have APKs with rotated keys in a repository). […]

pixelschubsi@troet.cafe · 5 days ago

@kuketzblog@social.tchncs.de @stefanjahn@freiburg.social @marcelklehr@fosstodon.org Naja, man muss dazu natürlich wissen, dass die “significant flaws” eben keine Sicherheitslücken sind; das wird ja auch nicht behauptet. Es werden halt technisch korrekte APKs als ungültig abgelehnt. Ist ein Problem, sollte man auch beheben, aber ist eben keine Sicherheitslücke.