@larma@mastodon.social
@larma@mastodon.social avatar

larma

@larma@mastodon.social

https://fosstodon.org/@microg creator · @dino developer · https://fosstodon.org/@xmpp council member · https://mastodon.social/@fsfe supporter

This profile is from a federated server and may be incomplete. Browse more on the original instance.

pojntfx, to random
@pojntfx@mastodon.social avatar

I think I might have found a way to run and distribute / apps (without Broadway) locally on an Android device 👀

Greenfield running the Adwaita Demo
Greenfield running the Adwaita Demo

larma,
@larma@mastodon.social avatar

@pojntfx I've started working on a GDK backend to directly render to Android's GL surfaces. No WebView/Greenfield/Wayland involved. This somewhat works already (incl. touch input). Main issue currently is to do the surface management right (which is normally done by the compositor and thus not part of GDK). And then I still have to figure out how to properly package this into a .apk.

slink, (edited ) to foss German
@slink@fosstodon.org avatar

so geht das nicht. ihr habt falsch verstanden. sie bedeutet nicht zwang und überwachung, sondern zusätzliche optionen und mehr . meine forderungen:

  • alle websites und apps
  • alle apis frei zugänglich
  • kein tracking
  • kein 3rd party content
  • anonyme buchung und zahlung
  • alle services auch mit analog-äquivalentem nachweis (zB QR code gedruckt)
    ein stinksaurer kunde. @digitalcourage @PRO_BAHN @echo_pbreyer
larma,
@larma@mastodon.social avatar

@slink @XR_Nuernberg_sunny2 Mit der Plastikkarte BC100 darf man seit Beginn des Jahres nicht mehr ÖPNV fahren. Dafür braucht man jetzt auch die App. Die BahnBonus-Vorteile die schon Teil von BahnComfort waren wurden ja immerhin bis zum Ende der Gültigkeit der Plastikkarte auch ohne App weitergewährt, beim ÖPNV sind auch bestehenden Karten bettoffen. Da steht dann auf der Plastikkarte "inkl. Deutschland-Tickt", aber zur Nutzung braucht es die Tracking-App.

bsi, to passkeys German
@bsi@social.bund.de avatar

Nie mehr komplizierte Passwörter! Mit könnt ihr endlich auf sie verzichten – die Einrichtung ist einfach und die basiert auf einem kryptografischen Verfahren. Mehr dazu: 👉 https://www.bsi.bund.de/dok/1107468

larma,
@larma@mastodon.social avatar

@bsi Außerdem drängen die Betriebssystem-Hersteller die Nutzer, ihre Zugangsschlüssel in der Cloud zu speichern. Somit erhalten Google, Apple, Microsoft und die amerikanischen Geheimdienste Zugang zu allen Accounts auf denen man Passkeys nutzt und somit auch auf die darin gespeicherten Daten.

larma,
@larma@mastodon.social avatar

@ljrk @bsi Genau, die allseits beliebten "verschlüsselten" Cloud-Backups, die man bei Verlust des alten Geräts auf einem neuen Gerät wiederherstellen kann, ohne dabei einen Schlüssel angeben zu müssen...

larma,
@larma@mastodon.social avatar

@ljrk Vielleicht reden wir aneinander vorbei, und der Korrektheit wegen muss ich zugeben, dass ich nur das System von Google genauer kenne. Da liegt der Schlüssel für die Verschlüsselung des Backups ebenfalls in der Cloud, vermutlich in einem getrennten System das gesondert gesichert ist, aber trotzdem in der Hand von Google. An welcher Stelle man beim einloggen in ein Google-Konto einen Schlüssel eingeben können soll, der für kryptographische Operationen geeignet ist, ist mir ein Rätsel.

larma,
@larma@mastodon.social avatar

@ljrk Und Google behauptet ja auch nirgends, dass nicht jeder der Zugang zum Google-Konto hat, das Backup dort auslesen kann und somit an die Passkeys kommt - genau andersherum ist es, denn das ist ein gewolltes Feature. Das hat auch herzlich wenig mit Bug Bounties zu tun, es ist schließlich kein Fehler sondern eine bewusste Design-Entscheidung.

larma,
@larma@mastodon.social avatar

@TuxOnBike @ljrk Das wäre zwar theoretisch möglich, würde aber bedeuten, dass bei einer Änderung des Passworts vom Cloud-Konto, das Backup kaputt geht. Das ist in der Regel nicht der Fall, häufig kann man mit Empfang einer e-Mail und Code per SMS das Passwort zurücksetzen - muss also das ursprüngliche Passwort nicht vorlegen - und erhält dann wieder Zugang zu den verschlüsselten Backups.

John_Livingston, (edited ) to fediverse French
@John_Livingston@mamot.fr avatar

Dear community,

I'm using Prosody+ConverseJS to add some chatting capabilities to (streaming software)

For such streaming platforms, there is a very useful feature, called the "Slow Mode". As far as i know, there is no XEP to describe this feature. So… I made a draft.

Here it is:
https://johnxlivingston.github.io/peertube-plugin-livechat/technical/slow_mode/

This is not submitted yet. As it is my first one, i'd like to have some people to have a look, and tell me if there are mispelling, misconception, or things to clarify.

larma,
@larma@mastodon.social avatar

@John_Livingston love the work so far. 👏

I second @debacle's comment re who should be exempted from rate limit. Instead of tying to the owner/admin affiliation, I would tie this to the moderator role (which owner/admin typically possess, but others might as well). A moderator not slowing down when intended to do so should probably not be a moderator anymore ;)

MishaalRahman, to random
@MishaalRahman@androiddev.social avatar

Android 15 should be adding a "Security State" API (android.os.SecurityStateManager) that will provide an easy way to query the security patch level of the Android OS, the vendor components, the Linux kernel version, the WebView version, and potentially more.

I'd imagine this will be useful for enterprise/device management use cases.

larma,
@larma@mastodon.social avatar

@MishaalRahman Do you have any link for more details on this? Could this end up being a DMA-compliant successor of SafetyNet?

jwildeboer, (edited ) to random
@jwildeboer@social.wildeboer.net avatar

The attack is being mitigated and tracked in the following CVEs:

  • CVE-2023-51764 postfix
  • CVE-2023-51765 sendmail
  • CVE-2023-51766 exim

All three CVEs have been filed today by the community and NOT by SEC consult who discovered the flaw in June 2023 but decided to not share their findings with postfix, sendmail or exim. Only after they published their post on 2023-12-18, the communities have become aware and are now working hard to fix what is now more a 0day :(

larma,
@larma@mastodon.social avatar

@tony @jwildeboer
> As our research was accepted at this year's 37C3 conference (info received on 3rd December) and we still thought that Cisco users should be warned about the vulnerable default configuration, we decided to publish our research before the conference and holidays in order to provide administrators time to re-configure their Cisco configuration.

https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/

kuketzblog, to android German
@kuketzblog@social.tchncs.de avatar

: Der Goldstandard unter den Android-ROMs. Kein Zweifel: GrapheneOS ist derzeit das sicherste und datenschutzfreundlichste Custom-ROM bzw. Android-System. :android: 👇

https://www.kuketz-blog.de/grapheneos-der-goldstandard-unter-den-android-roms-custom-roms-teil7/

larma,
@larma@mastodon.social avatar

@kuketzblog Du schreibst gleich mehrfach, dass mit den Sandboxed Play Services keine sensiblen Informationen übertragen werden. Was genau bedeutet in diesem Kontext sensibel bzw. welche Informationensübermittlung wird durch die Sandbox blockiert?

larma,
@larma@mastodon.social avatar

@kuketzblog Also zusammengefasst: es geht um Daten die man über Berechtigungen verwalten kann (das geht auch bei den offiziellen Play Services außer für Standort, den man dort nicht abschalten kann) und um einige Hardware IDs? Werden denn ausnahmslos alle Hardware IDs blockiert oder nur die von dir gerade aufgelisteten?

larma,
@larma@mastodon.social avatar

@kuketzblog Auch wenn das alles recht interessant ist, finde ich, dass es die Frage nicht wirklich beantwortet.
Klar, kann Google Play Services über das Backup-System eine Menge Daten auslesen, aber tut es das auch, wenn man Backups ausgeschaltet hat?
Wenn man den Play Services (auf einem gewöhnlichen Setup) die Kontaktberechtigung entzieht, kann es das vielleicht theoretisch umgehen, aber tut es das?

larma,
@larma@mastodon.social avatar

@kuketzblog READ_PRIVILEGED_PHONE_STATE gibt Play Services normalerweise Zugriff auf viele Hardware IDs, aber greift es vielleicht auf Hardware IDs zu, die diese Berechtigung nicht benötigen? Funktioniert das dann auch in der GrapheneOS Sandbox?
Ich nehme an, Micay kann die meisten dieser Fragen nicht beantworten und das ist auch nicht in irgendeiner Form als Vorwurf an ihn oder GrapheneOS gemeint.

larma,
@larma@mastodon.social avatar

@kuketzblog Mir geht es eher darum, diesen Fragen mal nachzugehen.
In den Artikeln zu CalyxOS und /e/OS bist du ausführlich auch auf das Datensendeverhalten von microG eingegangen und hast dazu den Netzwerkverkehr inklusive Inhalte analysiert. Zu den Sandboxed Play Services erwähnst du lediglich mit welchen Servern Verbindungen aufgebaut werden - keine Angaben dazu welche Daten dabei fließen. Da hätte ich mir mehr von dir erhofft.

larma,
@larma@mastodon.social avatar

@kuketzblog Eine tiefergehende Analyse des Datensendeverhaltens von Sandboxed Play Services könnte (wie auch deine Analyse von SUPL) dazu führen, dass GrapheneOS hier verbessert werden kann. Und gleichzeitig haben wir alle ein besseres Verständnis davon, was Google eigentlich so auf den Geräten treibt.

kuketzblog, to random German
@kuketzblog@social.tchncs.de avatar

Nachträglich fast fünf Millionen Euro für den Bahn-Vorstand. Wofür fragt man sich. Haltet euch fest: "Leistungsbezogene Zahlungen für erreichte Ziele." Finanziert aus Steuergeldern. Man könnte es für Satire halten, ist es aber leider nicht. Das ist an Frechheit kaum zu überbieten. 👇

https://www.tagesschau.de/investigativ/ndr-wdr/bahn-vorstand-bonus-100.html

larma,
@larma@mastodon.social avatar

@kuketzblog Das absurdeste ist ja: 2022 und 2023 darf die Bahn ihren Vorständen keine Boni auszahlen, weil sie die Strompreisbremse in Anspruch genommen haben. Deshalb zahlen sie den Boni für die "Leistung" aus 2022 einfach erst 2024 aus.
Der Grund für diese Regelung war, dass die Vorstände sich nicht einfach das Steuergeld, dass sie angeblich nur bekommen haben um eine Pleite zu verhindern, an sich selbst auszahlen. Und jetzt zahlen sie es sich einfach später aus.

kuketzblog, to random German
@kuketzblog@social.tchncs.de avatar

Falls euer Android-Gerät nicht mehr mit Updates versorgt wird, ihr es aber weiterhin nutzen wollt, dann schaut zuerst bei vorbei. Wenn das Gerät unterstützt wird, ist das die beste Wahl. 👇

https://divestos.org/
https://www.kuketz-blog.de/divestos-datenschutzfreundlich-und-erhoehte-sicherheit-custom-roms-teil5/

larma,
@larma@mastodon.social avatar

@jedie @kuketzblog
Du kannst @microg auch auf DivestOS installieren: https://divestos.org/pages/faq#microgEnable

larma,
@larma@mastodon.social avatar

@mixal @kuketzblog Gemeint ist: Beste Wahl für Geräte die nicht mehr mit Updates versorgt werden. GrapheneOS unterstützt praktisch nur Pixel-Geräte, die noch mit Updates versorgt werden.

pgpkeys, to random

The project leader of has announced a fork of the standard, justifying it with a list of accusations against the working group that fall apart under scrutiny. is being threatened with destruction over a personal grievance. We strongly urge de-escalation.

https://blog.pgpkeys.eu/critique-critique

larma,
@larma@mastodon.social avatar

@pgpkeys
> GnuPG should merge https://dev.gnupg.org/T4393
In how far is it relevant to merge changes to GnuPG for the discussion going on? I guess neither RFC4880 nor any proposal to update it, includes a rule "implementations MUST support importing key updates without UIDs from a server", no?

larma,
@larma@mastodon.social avatar

@pgpkeys @hko I am aware of all this. As far as I understood, GnuPG has taken the stance that some new developments (like k.o.o) are harmful to the ecosystem as they reinforce centralization. This is also mentioned briefly in T4393.
No matter if you agree on this or not (I personally also prefer the new privacy-friendly approaches), intentionally denying compatibility with systems that one considers harmful to the ecosystem is not irrational.

larma,
@larma@mastodon.social avatar

@pgpkeys @hko I personally see this more as the more "traditional" conflict between decentralization und user experience.
k.o.o is improving user experience through better privacy and easier key discovery at the cost of decentralization. Some people consider this desirable (especially for commercial products where user experience is important), others feel that decentralization is the most important and should never be traded for user experience.

larma,
@larma@mastodon.social avatar

@hko @pgpkeys
> An ecosystem that has "everything else + k.o.o" is clearly more diverse than one that only has "everything else".

This is a very shortsighted view. If k.o.o was well supported by GnuPG, it is more likely to become the only place for people to distribute their keys. If the large majority of keys is available on k.o.o, clients might be intrigued to only support k.o.o (again improving UX, as users wouldn't need to care about keyservers anymore).

larma,
@larma@mastodon.social avatar

@pgpkeys @hko why is T4393 required for interoperability with GDPR compliant servers? I bet there is a huge misunderstanding of GDPR behind that claim...

kuketzblog, to android German
@kuketzblog@social.tchncs.de avatar

Das Android Custom-ROM /e/ punktet beim Datenschutz, aber hinsichtlich der Sicherheit bestehen erhebliche Bedenken. 👇

https://www.kuketz-blog.de/e-datenschutzfreundlich-bedeutet-nicht-zwangslaeufig-sicher-custom-roms-teil6/

#e

larma,
@larma@mastodon.social avatar

@kuketzblog Der von dir beobachtete Aufruf von firebaseinstallations.googleapis.com stammt nicht von microG.
Das package was den request macht ist com.google.android.wfcactivation, eine proprietäre Komponente von Google für Pixel-Geräte, die Modem+Carrier spezifische Einstellungen am System vornimmt.

  • All
  • Subscribed
  • Moderated
  • Favorites
  • JUstTest
  • mdbf
  • cubers
  • thenastyranch
  • InstantRegret
  • Youngstown
  • rosin
  • slotface
  • Durango
  • ngwrru68w68
  • khanakhh
  • kavyap
  • everett
  • DreamBathrooms
  • anitta
  • magazineikmin
  • cisconetworking
  • GTA5RPClips
  • osvaldo12
  • tacticalgear
  • ethstaker
  • modclub
  • tester
  • Leos
  • normalnudes
  • provamag3
  • megavids
  • lostlight
  • All magazines
    •