für meine kalenderlösung auf einem mehr oder minder googlefreien gerät habe ich vor DAVx5 zu verwenden.
Die APK gibt es nun einerseits von den Entwicklern direkt hier oder über den F-Droid Store hier.
Ich habe mir DAVx5 aus letzterer Quelle bezogen und AppVerifier gibt mir folgendes App-Signaturzertifikat: 8B:48:E6:76:A6:86:49:67:79:17:83:C1:D8:D0:FC:0D:D6:D2:CE:33:E1:FB:36:78:77:93:EC:D0:86:D4:47:07 (F-Droid Version)
Die Entwickler geben ihr Zertifikat an mit:
B3:9E:7B:77:EC:85:34:83:64:6B:21:B4:A3:E3:CA:54:0B:A0:94:EF:8D:AA:18:E8:7E:0B:E1:FA:46:38:D3:21 (veröffentlicht auf DAVx5.com)
Nun sagt der Hersteller aber auch
F-Droid compiles DAVx⁵ from the source code and signs it with their own key (so that F-Droid APKs can’t be replaced with our builds and vice versa). It usually takes a few days until new release are available. We don’t have direct influence on F-Droid APKs.
was vermutlich der Ursprung der Unterschiede in den Signaturen ist (oder?)
Jetzt komme ich unweigerlich auf die Frage was (im Hinblick auf Sicherheit) sinnvoller ist… die unmodifizierte App direkt vom Entwickler zu beziehen, wo ich aber nicht weiß wie ich die Updateversorgung automatisiert realisieren soll
oder die F-Droid Version, die sich autom. updated aber dafür möglicherweise modifizierten code hat (die jedoch auch vom Entwickler selber auf F-Droid verlinkt).
wie handhabt ihr das?
Könnte jemand, der DAVx5 ebenfalls aus F-Droid installiert hat vielleicht netterweise seinen Signaturschlüssel zum vergleich bereitstellen?
@bamf Vielen Dank. Ich habe das gerade in einem separaten Benutzerprofil getestet.
Wenn ich das richtig verstehe, schaut obtainium an der von mir vorgegebenen URL (z.B. Github direkt), ob es Aktualisierungen gibt.
Wie geht ihr bei erstmaliger Installation vor? Wenn ich DAVx5 erstmalig von F-Droid installiere kann ich die App auch nicht über Obtainium aktuell halten - vermutlich wegen den unterschiedlichen Signaturen oder?
@bamf wie lange hast du obtainium schon im Einsatz? Zufrieden? Stolpersteine für Anfänger?
ich habe mal aufgeschnappt, dass die F-Droid-ler z.T. unerwünschte Merkmale aus Apps teilweise entfernen. Ist das nicht ein sicherheitsgewinn, wenn eine weitere instanz darüberschaut?
Oh, da scheiden sich die Geister… das Argument der “unabhängigen Prüfung” auf der einen Seite, aber dafür führst Du mindestens eine zweite Ebene ein, der Du Vertrauen schenkst: Sonst nur den Entwicklungsleuten und Github, jetzt zusätzlich den F-Droidlys und ihrer Infrastruktur.
Mehr Knoten → höhere Anfälligkeit
Ich nutze F-Droid, aber hauptsächlich der Bequemlichkeit wegen (nur eine Quelle).
