Patrice Ferlet aka MΣƬΛᄂ3D @metal3d@techlover.eu

@dada J'ai installé un Elementary OS à ma tante la semaine dernière après un super qu'elle ait choppé un ransomware sur son Windows.... Sauvegarde en ligne, formatage, terminé. Elle adore ! (et elle est loin d'être à l'aise en informatique, mais alors... loiiiiiinnnn)
Je suis pas fana des Ubuntu (like) que je trouve plus compliqué que les autres distros, mais Elementary a un design et un DM (Pantheon) très cool pour les débutants.

@keimashimari j'ai pas été clair. Je te demande de déchiffrer mes propos 🙂 je suis crevé ce soir...

@keimashimari pour info, docker fonctionne de cette manière : je peux proposer mon dépôt, ça builde l'image et n'importe qui peut la récup depuis les dépôts docker hub. Je te raconte pas le nombre de failles répertoriées...
Et pourtant, même moi je m'emmerde pas à reconstruire les images... C'est pourtant mon taff, mais... Manque de temps pour contrôler les 200 images que j'utilise.
PS: une image docker c'est un package en soi.

@keimashimari tu me diras, ok mais le package devra être construit en indiquant la source. Et là je te demande : combien vont aller vérifier ? Tant que personne ne va faire les verif manuellement, tu restes sur un risque potentiel loin d'être mineur.
Sans compter les délire de packageur qui patchent à la sauvages. Genre Ubuntu, ils ont bien foutu la merde avec openssl y'a quelques temps...

@keimashimari aujourd'hui les seules manières de s'assurer que les sources correspondant au dépôt voulu c'est qu'un packageur d'app soit neutre, et qu'il ne soit pas un arnaqueur, que d'autres vérifient ensuite manuellement le build pour valider le package (ce qui est fait sous linux)... Ou de prendre les sources et de compiler soit même toutes les app. Et je sais pas si t'as déjà fait un LFS mais ça prend des jours...

@keimashimari je pourrais par exemple avoir un dépôt caché, dire à tout le monde que celui qui est public est celui utilisé par le package. Mais quand je soumets le dépôt, je déclare l'autre. Si personne ne vérifie le build manuellement, en devant connaître le dépôt "officiel", la signature sera valide (car correspond au dépôt déclaré) et personne ne remarquera la gruge. On revient donc au problème courant de la confiance de la source.

@keimashimari tu parles donc un dépôt scallé. Chose qu'on a depuis des années sur les distributions Linux (en gros). Oui ça ok.
Mais toutes les applications ne sont pas open source (ça me désole mais certains ont leurs raisons). Et cela implique un nombre de contraintes qui ne peuvent pas être réalistes pour des dépôts comme play store et Apple store. Cela demande au vérificateur que le dépôt est bien celui qui contient les sources officielles, donc une vérification manuelle...

@keimashimari et je vais tuer le mec qui a développé ce correcteur automatique hein... Donnez moi son nom...

@keimashimari ce que je te dis c'est que quand tu vas récupérer l'App sur un store, tu vas avoir une signature proposé par le store. Le store ne compile pas l'App, il envoie (et signé) l'application que le développeur lui dépose déjà compilée. Tu ne peux pas vérifier que ce build correspond aux sources, toi client. À moins de compiler toi même l'App. Et dans ce cas, tu vas installer ton build, et donc la récup du build depuis le store ne t'a pas servi.

@keimashimari ce dont tu parles, c'est pour que tu puisses fournit toi même l'application en étant sûr que tu es synchro avec la version de base. Et donc de permettre d'être un miroir. Ou, si tu es un client qui veut compiler l'App avant déploiement à condition que tu as confiance en ton presta qui te fourni la signature. Ça n'a rien à voir avec Signal qui te fourni une app sur le store. Le client, ici, ne va pas et ne sait pas compiler l'App. Et on ne compile pas sur le mobile...

@keimashimari non mais... Je connais très bien le principe (cf mon métier...). Mais ce que tu expliques est de commander une pizza, et d'en faire une de ton côté, pour vérifier que celle que t'as commandé ressemble parfaitement à la tienne. Et tu jette la tienne à la poubelle. La méthode que tu décris n'existe pas dans les procédures de sécurité de build. Si tu compiles l'App, tu n'as pas à récupérer le build en plus.

@keimashimari non mais dans ce cas pourquoi tu télécharges l'apk... ? 🤔
Si tu peux builder l'App, tu télécharges pas l'apk. Tu ne te bases que sur les sources.
On parle depuis tout à l'heure de récupérer l'App par un utilisateur lambda.

@keimashimari @bortzmeyer @edasfr je parle bien entendu du Store Apple, Google etc... tu ne vais jamais pouvoir vérifier que l'app que tu as est basée sur le code sur git.

@keimashimari @bortzmeyer @edasfr oui mais pas du contenu de l'application. Une application qui efface ton disque dur peut très bien être signée, et compilée proprement 😋

@matiu_bidule @edasfr Pour info, la qualité de service de Signal est à faire pâlir plus d'un grand compte. Ils ont eu très très peu de pannes, là c'était vraiment exceptionnel.

@matiu_bidule @edasfr Ce qui induit que Madame Michu (ou Monsieur hein) doit connaitre la liste. C'est le souci avec Mastodon, c'est le souci avec Diaspora... etc...
Décentraliser ça ne veut pas dire "scaller", ça veut dire que tu as plusieurs "services" qui se relient entre eux.
Signal est centralisé ET scallé. Y'a eu de nouveaux serveurs, et ça a corrigé le souci.
Avec la Décentralisation, tu ne garantie pas le service (si mon instance tombe, tous mes inscrits sont en rade, et pour longtemps)

@matiu_bidule @edasfr imagine que tu sois sur un serveur décentralisé du coup, d'un mec lambda, comme moi, qui ne supporte pas la charge d'inscription. C'est pas 24h de panne là, c'est ad vitam, parce que j'aurais pas les moyens de démarrer plus de serveurs que ce que j'ai.