Die einzige Änderung in den letzten Wochen war, dass ich von UnifiedPush auf Websocket umgestellt habe. Kann das damit zusammenhängen?
Bzw. hat jemand eine Idee, was da passiert und was ich damit tun sollte? Bin ein wenig verunsichert.
PS: Versucht habe ich, wieder auf UnifiedPush zu wechseln (adminforge; Version 1.7.1). Funktionierte allerdings nicht.
Hoffe, das ist halbwegs verständlich und am richtigen Ort. Habe mir im Rahmen meiner (Un-)Kenntnisse Mühe gegeben.
Ja genau, habe im F-Droid Client die automatischen Updates aktiviert.
Hm, und eben beim Nachschauen in den App-Details wurde dort auch sogleich die neue Version installiert. Und die Meldung zum Update scheint damit auch erledigt.
Aber stimmt, in Molly habe ich auch automatische Updates aktiviert.
Dann vermute ich mal, dass die Info von dort kam und das bei F-Droid einfach ein wenig länger gedauert hat.
Also kein Grund zur Panik. Alles okay. Danke dir sehr!
Generell werden bei einem Appupdate die Signaturen der installierten Version mit dem der Update-APK verglichen und Updates sind nur möglich, wenn diese übereinstimmen. In der Regel werden die builds im F-Droid Store von F-Droid selbst direkt aus dem Quellcode erstellt, während die in anderen Quellen (Playstore, Github, Webseite der Entwickler) meist von den Entwicklern selbst aus ihrem Quellcode erstellt werden. Daher haben diese dann unterschiedliche Signaturen und man kann F-Droid-builds nicht mit anderen builds updaten und umgekehrt.
Wie das jetzt mit F-Droid Repos läuft, weiß ich nicht, vielleicht stellen dort die Entwickler auch selbst ihre eigenen builds ein? Aber selbst wenn, können die theoretisch auch andere sein als auf Github, etc. und somit andere Signaturen haben.
Ich schätze daher, dass die Update-Info von Molly direkt kam, als Quelle dort ihr Github genutzt wird, die Signaturen nicht übereinstimmten und das Update daher verweigert wurde und dann erst das automatisch Update aus F-Droid funktionierte nachdem die neue Version auch dort eingestellt war.
Der Repo-Betreiber stellt ins jeweilige Repo die Builds rein. Das ist bei F-Droid F-Droid, bei Guardian Project Guardian Project, bei IzzyOnDroid IzzyOnDroid, bei Molly Molly, bei Shift Shift, bei Tagesschau Tagesschau, bei Firefox (unofficial) Ricki Hirner, …. Normalerweise sollten die Builds von den großen öffentlichen Repos (F-Droid, IzzyOnDroid, Guardian Project) reproduzierbar sein, d.h. mit derselben Signatur wie der des App-Entwicklers ausgestattet sein. Stand jetzt sind die meisten Builds in F-Droid leider von F-Droid signiert, weil Apps, die in F-Droid veröffentlicht werden irgendwie anders reproduzierbar sein müssen als bei allen anderen (IzzyOnDroid, Accrescent, Google Play Store) und das die meisten Entwickler nicht unterstützen (in der Variante von F-Droid gibt es wohl zu allem Überfluss eine konzeptionelle Sicherheitslücke). Repos vom App-Entwickler sind meist einfach ein weiterer Veröffentlichungsweg der vom Entwickler gebauten (nicht zwingen open-sourcen) Apps (so auch bei Molly).
Unsinn: Der OP sollte doch klar die Berechtigung geben, dass auch Molly unbekannte Apps installieren darf, was er nicht geben wollte. Die Signaturüberprüfung stand also noch gar nicht an.
Das Wort leider ist eine rein persönliche Meinung. Das kann und wird durchaus auch anders gesehen
Sie müssen nicht irgendwie anders reproduzierbar sein. Im Gegensatz zu allen anderen Stores müssen sie ausschliesslich aus freier Software baubar sein.
Das ist angesichts des Umstands, dass selbst aus dem PlayStore schon massenhaft Schadsoftware entfernt werden musste ein Pluspunkt.
Sehr richtig. Ist der Build nicht reprozierbar, kann es durchaus auch irgendwas sein was man nicht will/wollte.
Doch die Voraussetzungen sind andere: Bei IzzyOnDroid & Accrescent müssen die meisten App-Entwickler nichts (kaum etwas) am Code & Bauen ändern, bei F-Droid jedes Mal. Beim Google Play Store können meiner bisherigen Kenntnis Open-Source-Apps optional auch (anders als sonst beim Play Store üblich) reproduzierbar gebaut werden. Und das funktioniert dort ähnlich als bei IzzyOnDroid & Accrescent.
Nein. Waren Sicherheitsexperten (https://github.com/obfusk/fdroid-fakesigner-poc), die die Prüfung im Auftrag von F-Droid vorgenommen haben. Nur F-Droid hat nachdem sie etwas gefunden haben, F-Droid-typisch dagegen gestänkert. Ich weiß nur nicht, ob das Problem mittlerweile gefixt wurde.
