Patrice Ferlet aka MΣƬΛᄂ3D @metal3d@techlover.eu

@keimashimari tu parles donc un dépôt scallé. Chose qu'on a depuis des années sur les distributions Linux (en gros). Oui ça ok.
Mais toutes les applications ne sont pas open source (ça me désole mais certains ont leurs raisons). Et cela implique un nombre de contraintes qui ne peuvent pas être réalistes pour des dépôts comme play store et Apple store. Cela demande au vérificateur que le dépôt est bien celui qui contient les sources officielles, donc une vérification manuelle...

@keimashimari et je vais tuer le mec qui a développé ce correcteur automatique hein... Donnez moi son nom...

@keimashimari ce que je te dis c'est que quand tu vas récupérer l'App sur un store, tu vas avoir une signature proposé par le store. Le store ne compile pas l'App, il envoie (et signé) l'application que le développeur lui dépose déjà compilée. Tu ne peux pas vérifier que ce build correspond aux sources, toi client. À moins de compiler toi même l'App. Et dans ce cas, tu vas installer ton build, et donc la récup du build depuis le store ne t'a pas servi.

@keimashimari ce dont tu parles, c'est pour que tu puisses fournit toi même l'application en étant sûr que tu es synchro avec la version de base. Et donc de permettre d'être un miroir. Ou, si tu es un client qui veut compiler l'App avant déploiement à condition que tu as confiance en ton presta qui te fourni la signature. Ça n'a rien à voir avec Signal qui te fourni une app sur le store. Le client, ici, ne va pas et ne sait pas compiler l'App. Et on ne compile pas sur le mobile...

@keimashimari non mais... Je connais très bien le principe (cf mon métier...). Mais ce que tu expliques est de commander une pizza, et d'en faire une de ton côté, pour vérifier que celle que t'as commandé ressemble parfaitement à la tienne. Et tu jette la tienne à la poubelle. La méthode que tu décris n'existe pas dans les procédures de sécurité de build. Si tu compiles l'App, tu n'as pas à récupérer le build en plus.

@keimashimari non mais dans ce cas pourquoi tu télécharges l'apk... ? 🤔
Si tu peux builder l'App, tu télécharges pas l'apk. Tu ne te bases que sur les sources.
On parle depuis tout à l'heure de récupérer l'App par un utilisateur lambda.

@keimashimari @bortzmeyer @edasfr je parle bien entendu du Store Apple, Google etc... tu ne vais jamais pouvoir vérifier que l'app que tu as est basée sur le code sur git.

@keimashimari @bortzmeyer @edasfr oui mais pas du contenu de l'application. Une application qui efface ton disque dur peut très bien être signée, et compilée proprement 😋

@matiu_bidule @edasfr Pour info, la qualité de service de Signal est à faire pâlir plus d'un grand compte. Ils ont eu très très peu de pannes, là c'était vraiment exceptionnel.

@matiu_bidule @edasfr Ce qui induit que Madame Michu (ou Monsieur hein) doit connaitre la liste. C'est le souci avec Mastodon, c'est le souci avec Diaspora... etc...
Décentraliser ça ne veut pas dire "scaller", ça veut dire que tu as plusieurs "services" qui se relient entre eux.
Signal est centralisé ET scallé. Y'a eu de nouveaux serveurs, et ça a corrigé le souci.
Avec la Décentralisation, tu ne garantie pas le service (si mon instance tombe, tous mes inscrits sont en rade, et pour longtemps)

@matiu_bidule @edasfr imagine que tu sois sur un serveur décentralisé du coup, d'un mec lambda, comme moi, qui ne supporte pas la charge d'inscription. C'est pas 24h de panne là, c'est ad vitam, parce que j'aurais pas les moyens de démarrer plus de serveurs que ce que j'ai.

@framasky pas le même volume de vente... Voilà tout. C'est l'inverse avec les crèmes pour le visage, les versions masculines sont plus chères parce qu'ils en vendent moins.

@breizh @edasfr @bortzmeyer bhaaaaa le fait est que Signal propose ça gratos, toute tentative de fork risque d'être compliqué... Et je parle pas du coût si tu arrives à convaincre des millions de personnes. Par contre je vois personne tenter de forker et tenter de décentraliser. Parce que je défends le choix des signal mais je suis tout de même intéressé par une alternative de ce genre, du moins techniquement parlant.

@edasfr @breizh @bortzmeyer pour une messagerie privée c'est pas mal en tout cas. J'ai entendu que certaines boîtes on foutu du Signal interne.

@edasfr @breizh @bortzmeyer je vais me répéter mais je suis d'accord avec toi hein 🙂

@breizh @edasfr @bortzmeyer non c'est juste une limitation imposée sur les serveurs de Signal. Tu peux prendre les sources du serveur et des app et monter ton propre service.