Folgen

Nachtrag:

Für Clients gilt übrigens das Gleiche.

Bei F-Droid vermute ich sehr, dass die Anwendungen auch wirklich von dem veröffentlichten Quelltext stammen.

Bei den offiziellen Installationsmethoden von Apple oder Google bin ich mir schon weniger sicher ...

Es ist die Frage, an welcher Stelle man vertraut.

· · Web · 6 · 2 · 1

@ddeimeke Streng genommen darfst du als Entwickler auch nicht einfach so dem Framework trauen, das du nutzt. Es könnte dir heimlich eine Bibliothek hinzu linken ohne dir was davon mitzuteilen.

@Hamiller @ddeimeke und strenggenommen kann man der Plattform wie ein Handy mit den unzähligen #firmware blobs auch nicht trauen... 🤷🏻‍♂️

@jedie Klar, aber irgendwann kommst du dann an den Punkt, ab dem du nur noch ohne Elektronik in einer Hütte irgendwo im Wald leben kannst. Auch nicht wirklich erstrebenswert. 😜 @ddeimeke

@jedie

Mir geht es darum, nicht blind zu vertrauen, nur weil von irgendwas der Quelltext veröffnentlicht wurde.

@Hamiller

@ddeimeke Da gebe ich dir völlig recht, es darf eben aber auch nicht ins andere Extrem kippen @jedie

@ddeimeke @Hamiller Definitiv. OpenSource == Sicher == Datensparsam usw. trifft nicht automatisch zu. Da bin ich ganz bei dir...

@ddeimeke @Hamiller Aber anders herrum geht es auch nicht: #ClosedSource == Sicher == Datensparsam geht auch nicht... Auch nicht ClosedSource != Sicher != Datensparsam usw.... Was passt ist erstmal:

#ClosedSource == Blackbox
#OpenSource != Blackbox

@ddeimeke Diese gesamte Diskussion könnte insgesamt (perspektivisch) tatsächlich in die richtige Richtung gehen, weil dort die richtigen Fragen gestellt werden. Konkret: Für John Doe ist "Selbstbetrieb" oder "Code-Analyse" überhaupt keine Option. Die Frage also: Wem muss John Doe vertrauen, wem kann er vertrauen, und warum? Das ist auch eines der Probleme, die ich etwa mit förderierten Systemen, vielen Instanzen (und damit vielen Admins!) habe und weswegen ich mir im Betrieb viel viel mehr ...

@z428

Ich fände schon cool, wenn man sich der Risiken bewusst ist und sich überlegt, an welcher Stelle vertraut wird.

Dass ein Softwarequelltext freigegeben wird, ist eine notwendige aber keine hinreichende Bedingung.

@ddeimeke ... Zero-Knowledge - Infrastruktur wünschte. In den 2020ern kann, für die absolute Mehrheit der Menschen, nicht das Ziel sein, Vertrauen durch offenen Code zu gewinnen (mit Verlaub wird selbst der durchschnittliche Nerd nicht imstande sein, aus dem Code einer libc, eines Linux-Kernels oder eines Browsers durch Lektüre Vertrauenswürdigkeit abzuleiten - etwa von Krypto-Algorithmen und deren mathematischen Fundamenten ganz zu schweigen). Ziel kann so vermutlich nur ...

@ddeimeke ... sein, insgesamt die Menge an "Dingen" (Software, Instanzen, Geräten, ...), denen vertraut werden muss, absolut zu verringern. Schwierig genug. 🙂

@z428 @ddeimeke steigende Abstraktion spricht aber dagegen...

Einen C64 o.ä. konnte man noch voll und ganz verstehen, mit genug Anstrengungen... Die Zeiten sind lange, lange vorbei... Vertrauen muss man vielen Instanzen von Hardware Herstellern mit ihren Firmware blobs über das Betriebssystem mit einigen ebenen über den APP store bis zum Entwickler der zog frameworks und externe Abhängigkeiten nutzt...

@jedie Ich habe das 'mal spaßeshalber versucht: John Doe, der völlig informatik-fachfremd ist, versteht auch einen Zwei-Bit-Lehrcomputer schlecht bis nicht. Die Materie _ist_ komplex und speziell. Ich sehe es aber anders: Ich kaufe Brötchen beim Bäcker oder Fleisch beim Fleischer, ohne Sorge zu haben, systematisch vergiftet zu werden. Bedarfsweise lasse ich mich ärztlich behandeln oder nehme verordnete Medikamente, ohne Sorge zu haben, dass mir der Arzt oder der Apotheker Böses ...

@ddeimeke

@jedie ... wollen. Notfalls steige ich in einen Bus oder ein Flugzeug und vertraue allen (im Falle des Flugzeugs relativ vielen) Beteiligten, dass sie mich sicher von A nach B bringen. Eine arbeitsteilige Zivilisation funktioniert nur mit Vertrauen, aber vermutlich braucht es gewisse Regularien, auf die man das Vertrauen in andere stützen kann. Konkret _das_ ist im Blick auf quasi alles, was IT / Software ist, faktisch nicht da.

@ddeimeke

@z428

Wobei man sich in der heutigen Zeit fragen muss, wer regulieren soll.

Feuchter Traum fast aller Innenminister ist es einen Bundes-/Landestrojaner auf den Mobiltelefonen zu haben.

@jedie

@ddeimeke Ja. Mir ist momentan nicht ganz klar, wer die Dinge ausbalanciert. Dieser "Freiheit vs. Sicherheit" - Diskurs ist kritisch, weil die Gesellschaft letztlich an vielen Stellen individuelle Freiheiten zugunsten allgemeiner Sicherheit einschränkt (ansonsten dürfte ich mit dem großen schweren SUV auch in der Innenstadt so schnell fahren, wie es mein Motor eben hergibt, wenn ich das will).

Insofern hab ich noch viel mehr die Sorge: Es fehlt nicht nur an einer regulierenden ...

@jedie

@ddeimeke ... Instanz, sondern auch an einem gesellschaftlichen Konsens, _wie_ diese Regulierung denn _überhaupt_ aussehen sollte. Bin mir im Unklaren, ob das dem Umstand geschuldet ist, dass viele dieser Technologien und der daraus erwachsenden Probleme im größeren Vergleich noch relativ jung sind und Erfahrungen fehlen, aber wohl ist mir bei all dem nicht.

@jedie

@ddeimeke

Daher nutze ich selbst kein Apple oder noch nie. Android nutze ich genauso wenig und bin auf ein Flash vollzogen auf ein Linux System. Doch wenn man es so sieht, sollten wir wirklich das Digitale abschalten.Da man nicht mal unserem Staat mehr Trauen kann.Daher sollten wir wirklich alles abschalten, dann sind wir was mehr auf der sicheren SEITE.

@carrabelloy

Nein, ich denke wir sollten uns bewusst sein, dass nicht alles perfekt sein.

Und bewusst eine Entscheidung treffen, an welcher Stelle wir vertrauen.

@ddeimeke

Dabei kann man sich schnell mal vertun. Ich bin schon in anderen beispielen darauf rein gefallen. Von daher ist das immer sehr schwer und da das gerade in der Digitalisierung immer schneller geht.

@carrabelloy @ddeimeke
100% Sicherheit gibt es nirgendwo. Wir würden sicherlich ruhiger leben wenn wir das Internet abschalten. Aber alleine weil so viele Überwachungsgesetze nötig sind zeigt das doch eigentlich wie gut unsere Verschlüsselungsmethoden und co. sind.
Um das negative auch mal Positiv zu sehen ;)
Achja und wenn wir alles abgeschalten haben, wie können wir unseren Freunden trauen das die nicht zum Staat rennen und alles ausplaudern?
Das ist "leider" alles eine Frage des Vertrauens.

@ddeimeke
Zu Google kann ich sagen, dass bisher die Apk durch den Entwickler gebaut und signiert wird und da Google weniger bis nichts manipulieren kann.
Da Google das aber gerade ändert und ab nächstes Jahr verpflichtend das Signieren übernimmt (also den Private Key besitzt), kann Google dann tatsächlich einfach Änderungen einbauen, ohne das es auffällt.

Melde dich an, um an der Konversation teilzuhaben
social.anoxinon.de - Mastodon

Mastodon ist ein soziales Netzwerk. Es basiert auf offenen Web-Protokollen und freier, quelloffener Software. Es ist dezentral (so wie E-Mail!).