Marvin W

@larma
1,033 Followers
137 Following
1,008 Posts
@microg creator · @dino developer · @xmpp council member · @fsfe supporter
GitHubhttps://github.com/mar-v-in
Liberapayhttps://liberapay.com/larma
Show threadMarvin W6d ago

@cpontvieux @regendans What makes you believe Dino is not developed anymore?

For context: DinoX is a vibe coding / "agentic" fork of Dino. Human review, if any, is very limited.

Show threadMarvin WMay 21
@adnan I run prosody in a rootless podman. The only thing that was special about it was that I had to set `run_as_root = true` in the prosody configuration file. Of course I could also just have added a user in the container and run as that, but I was lazy and it felt unneeded. Beside that I guess the usual prosody setup procedure applies, meaning you need to think about certificate setup and TURN server (if you want to do calls).
Marvin WMay 15
Open Web AdvocacyMay 15

The EU's Digital Markets Act is delivering real wins for consumers in the EU, and in some cases globally. Apple and Google are opening up functionality that was previously reserved for their own products.

But one glaring failure stands out: browser engines on iOS.

📖 Read: https://open-web-advocacy.org/blog/the-digital-markets-act-is-delivering-real-wins-but-not-yet-for-browser-engines/

🧵👇️ (1/23)

The Digital Markets Act Is Delivering Real Wins, But Not Yet for Browser Engines - Open Web Advocacy

Open Web Advocacy
Show threadMarvin WApr 30
@blausand @Mer__edith Gerade bei Maps und Push Notifications müsste man den proprietären Code tatsächlich auch nicht benutzen. Für Maps gibt es OpenStreetMap-basierte Alternativen, die auch von vielen kommerziellen Apps genutzt werden, und für Push Notifications gibt es auch offene Implementierungen, um Google's Push Dienst anzusteuern (bzw. am besten direkt den WebPush-Standard nutzen, der sowohl von Google als auch von der freien Alternative @unifiedpush unterstützt wird).
Show threadMarvin WApr 30

@berglerma @skaphle @p3m @Lilith @fluepke
Ja, im Prinzip werden Teile statisch gelinkt. Häufig wollen diese Teile dann aber mit der Play Services App (die du bei GrapheneOS u.U. nicht hast) kommunizieren (über eine private IPC API) oder wollen Code draus nachladen - ist die nicht da, funktioniert vieles deshalb nicht, zum Beispiel die Push Notifications.

Es ist dennoch so, dass auch auf GrapheneOS der in Signal eingebettete proprietäre Code ausgeführt wird, der bricht dann halt recht früh ab.

Show threadMarvin WApr 30

@skaphle @p3m @Lilith @fluepke
Ganz im speziellen zum zweiten Faktor: Der wird zumindest bei kompetenten Banken (*) im sicheren Bereich des Smartphones gespeichert, sodass nicht mal die App selbst Zugriff darauf hat, sondern diesen nur zum signieren für einzelne Transaktionen nutzen kann, die dann jeweils mit Fingerabdruck oder PIN geprüft werden. Da kann dann auch Google nichts machen.

(*) Will hier kein Banken-Shaming betreiben, aber definitiv nicht alle deutschen Banken tun das richtig.

Show threadMarvin WApr 30
@skaphle @p3m @Lilith @fluepke
Mir ist bisher in Google's statischen Code aber auch noch nichts offensichtlich problematisches untergekommen. Bei dynamisch geladenem Code habe ich tatsächlich noch nicht intensiver reingeguckt, das wäre aber ohnehin irrelevant, weil ich ja nicht weiß, ob beim nächsten mal überhaupt noch der gleiche Code geladen wird.
Show threadMarvin WApr 30
@skaphle @p3m @Lilith @fluepke Spezifisch zu Play Services: Verschiedene Module von Play Services nutzen unterschiedliche Methoden um eingebettet zu werden. Manche, wie zum Beispiel Maps, laden Code dynamisch nach. Andere sind statisch, das heißt der gesamte Binärcode liegt im Modul selbst. Dann kann man theoretisch auch bei einem proprietärem Modul diesem Code einem Audit unterziehen. Ich glaube aber nicht, das Banken das tun.
Show threadMarvin WApr 30
@skaphle @p3m @Lilith @fluepke Also erstmal gilt immer, wenn man ein Modul von Dritten nutzt, hat dieses volle Kontrolle über die App. Deshalb sollte man dem Anbieter entweder vollends vertrauen, oder das Modul in einer oder anderen Form auditieren. Das ist bei Open-Source code natürlich einfacher als bei proprietärem Code.
Show threadMarvin WApr 30
@skaphle @p3m @Lilith @fluepke Man muss an dieser Stelle übrigens unterscheiden zwischen eingebettetem Play Services (wie Signal es nutzt) und der auf dem selben Gerät installierten externen Play Services Hilfs-App. Letztere kann nicht, nur weil sie auf dem selben Gerät installiert ist, auf den Speicher von Signal zugreifen. Android trennt da relativ sauber zwischen den Apps ab. Ohne die Einbettung als Modul wäre Google der Zugriff auf Signal-Nachrichten also erstmal nicht möglich.