--- /dev/null
+From: Boris Kraut <krt@nurfuerspam.de>\r
+Subject: [.plan] Use Signal, they said...\r
+Message-ID: <e1b75e62-44af-070b-dc74-649b3744ab03@nurfuerspam.de>\r
+Date: Sat, 17 Nov 2018 23:22:29 +0100\r
+MIME-Version: 1.0\r
+To: undisclosed-recipients: ;\r
+Content-Type: text/plain; charset=utf-8; format=flowed\r
+Content-Language: en-US\r
+Content-Transfer-Encoding: 7bit\r
+\r
+Nutz Signal, haben sie gesagt. Genau so einfach wie WhatsApp, aber freie\r
+Software und es loest die OTR-Verschluesselungsprobleme in einer mobilen\r
+Welt mit staendigen Verbindungsabbruechen und und und... und? Sie hatten\r
+absolut recht. Doch diese Sicherheit und Freiheit hatte seinen Preis. So\r
+sehr ich Matthew Rosenfield aka Moxie Marlinspike als Koautor (zusammen\r
+mit Trevor Perrin) des Signal-Protokolls und als Sicherheitsforscher\r
+schaetze, so war doch sehr schnell klar, dass er andere Kompromisse\r
+eingeht. Dezentralisierung ist ihm nicht wichtig, teilweise ist sie sogar\r
+schaedlich fuer sein grosse Ziel "Krypto fuer die Masse", und er ist sich\r
+nicht zu Schade Verschluesselung gegen Geld auch in proprietaere Software\r
+einzubauen -- nichts dagegen zu sagen, nur sollte auch ihm klar sein, dass\r
+man dieser Crypto nicht vertrauen kann.\r
+\r
+Anyway, auch waehrend meiner Zeit bei F-Droid, bin ich einige Male mit\r
+ihm aneinander geraten, aber nichts hat meine fachliche Einschaetzung\r
+ueber ihn -- die mir eigentlich nicht zusteht -- wirklich getruebt. Von\r
+einem gewissen Standpunkt aus hatte er eben durchaus recht. Doch eine\r
+aktuelle Sache zeigt mir, wie haeufig mit zweierlei Mass gemessen wird:\r
+\r
+## Teil I\r
+\r
+Moxie beschwert sich lauthals ueber F-Droid (und andere 3rd party builds),\r
+die es nicht schaffen ihre Nutzer zu schuetzen und zeitnah Updates zu\r
+liefern. Klar haette man u.a. was proprietaere Libraries angeht auch\r
+seitens des Upstream-Entwicklers etwas mehr Weitsicht erwarten koennen,\r
+aber ja, F-Droid hat aus diversen Gruenden -- Projekte werden um-\r
+strukturiert, beinhalten nicht-freie Teile, IDs aendern sich, die eigene\r
+Buildinfrastruktur ist ueberlastet, zu wenig Manpower... -- ab und zu\r
+Probleme aktuelle Builds zu liefern. Von daher ist die Schelte berechtigt.\r
+Ich selbst werde mir nie verzeihen, dass ich mich beschwatzen hab lassen\r
+Fennec F-Droid als stabil genug fuer das Mainline-Repo anzusehen... ein\r
+paar Updates spaeter war das Build kaputt und Endanwender standen ohne\r
+aktuellen Browser da.\r
+\r
+## Teil II\r
+\r
+Signal fuehrt eine Desktop-Version fuer Chrome und ChromeOS ein -- Crypto\r
+fuer die Masse und eine total tolle Plattform:\r
+\r
+https://signal.org/blog/signal-desktop/\r
+\r
+## Teil III\r
+\r
+Moxie weigert sich wehement, ein eigenes F-Droid Repo zu pflegen (wo er\r
+seine signierten Binaries hochladen und verteilen kann) oder eine andere\r
+Form von Nicht-Playstore-Updates anzubieten. Seine (druchaus verstaendliche)\r
+Argumentation:\r
+\r
+moxie0 (https://github.com/signalapp/Signal-Android/issues/127):\r
+> First, I'm concerned primarily with the security of our users,\r
+> and am interested in targeting a demographic that does not know\r
+> what a checksum or signature is. You might call them "newbies,"\r
+> but personally I think we're doing a good job if these are the\r
+> bulk of our users.\r
+>\r
+> [...]\r
+>\r
+> No upgrade channel. Timely and automatic updates are perhaps\r
+> the most effective security feature we could ask for, and not\r
+> having them would be a real blow for the project.\r
+\r
+## Teil IV\r
+\r
+Nach langem hin und her, wird Signal endlich auch ausserhalb des Playstores\r
+zum Download angeboten und erhaelt einen eigenen Updater, der leider auch\r
+relativ schnell Probleme bekommt, u.a. beginnt er nach einigen Updates zu\r
+crashen -- evtl. ein Fall von zu wenig Tests, aber Moxie meint dazu nur...\r
+\r
+moxie0 (https://github.com/signalapp/Signal-Android/issues/7654):\r
+> My preference is to let the folks who are into free\r
+> software make the necessary changes for free software\r
+> features, so I've added a help wanted tag.\r
+\r
+Als ich das damals gelesen habe, war ich durchaus etwas angepinkelt. Erst\r
+erklaert er uns, wie wichtig Updates sind und nachdem er alle funktionierenden\r
+Loesungen abgelehnt hat und seinen eigenen Updater ausgerollt hat, dann soll\r
+es die Community fixen? Seriously?\r
+\r
+Wie dem auch sei, im Endeffekt war auch das mit egal. Auf der Website wurde\r
+ja explizit vor dem APK-Download gewarnt. Das einzige, was ich mir in der\r
+Situation erhofft haette, waere das Messen mit gleichem Augenmass: Ich denke\r
+es ist fair anzunehmen, dass F-Droid-Nutzer und Signal-APK-Download-Nutzer\r
+eine sehr aehnliche Zielgruppe sind, von denen man etwas technischen Sach-\r
+verstand erwarten kann. Keine Updates zu liefern ist scheisse, ja, aber zu\r
+sagen, dass F-Droid seine User im Stich gelassen hat, aber selbst es nicht\r
+besser hinzubekommen ist durchaus..mh.. "anruechig".\r
+\r
+## Teil V\r
+\r
+Signal fuer Chrome wurde deprecated und ist seit dem 15. November 2018 im\r
+Read-Only-Modus. Es gibt auch eine Migrationsanleitung:\r
+\r
+> After 380 days of extended support, the legacy Chrome version\r
+> of Signal Desktop will stop working on November 15, 2018. The\r
+> new standalone version of Signal Desktop is available now, and\r
+> it has received regular updates in the past year -- including\r
+> numerous feature enhancements and significant performance\r
+> improvements.\r
+>\r
+> The built-in migration process will help you switch to the\r
+> latest release. All of your information will be saved, and the\r
+> upgrade should only take a few minutes. Thanks for using Signal!\r
+\r
+Die trifft aber nur fuer Nutzer des Chrome-Browsers zu. ChromeOS-Nutzer\r
+sehen den gleichen Anleitungstext, koennen ihm aber nicht folgen. Fuer\r
+sie gibt es schlicht (noch) keine Upgrade-Option. Und das macht mich\r
+richtig wuetend. Nicht, dass es _mich_ treffen wuerde, nein, es trifft\r
+genau die Zielgruppe, die sich eben nicht helfen kann, die "Newbies"\r
+wie Moxie damals schrieb. Und das ist fahrlaessig und arrogant.\r
+\r
+Man kann ueber ChromeOS jetzt schimpfen wie man will, aber es wird von\r
+der Zielgruppe eben verwendet. Insbesondere in den Staaten, gerade in\r
+Bildungseinrichtungen, aber auch hier in Deutschland nimmt sein\r
+Marktanteil zu -- insbesondere weil Google hier im Gegensatz zu Android\r
+einen Account erzwingen kann. Anyway, Signal laesst hier genau die Nutzer\r
+im Stich, die es vorher als eigene Zielgruppe ausgemacht hat... und die\r
+Poweruser, die sich jetzt mit gestrandeten Signal-Nutzern in der Familie\r
+konfrontiert sehen.\r
+\r
+Ja, Signal fuer ChromeOS war depecated. Aber es war in Benutzung. Und es\r
+gibt keinen Upgrade-Pfad. Ich denke sie werden die ChromeOS-Linux-\r
+Umgebung fuer die Web-Version nutzen oder gleich die Android-App fuer\r
+ChromeOS erlauben, aber das ist Zukunftsmusik. Das haette man vorher\r
+bedenken koennen... und es gibt genuegend Issue-Tickets genau zu den\r
+Themen. Aber egal was kommt: Das Vertrauen ist verspielt.\r
+\r
+... und das nicht nur bei Signal. In letzter Zeit habe ich immer mehr\r
+Software von grossen Herstellern gesehen, die ihre Upgrade-Pfade nicht\r
+testen, User im Regen stehen lassen, gar Daten beim Update loeschen --\r
+ich schau dich an, Microsoft! -- und dann muss ich mir anhoeren, dass\r
+Linux so problematisch waere? Ernsfhaft?\r
+\r
+Doch was ist die Loesung? Ich fuer mich habe nur zwei Antworten:\r
+\r
+Weniger Komplexitaet und muendige Nutzer.\r
+\r
+-- \r
+Boris Kraut\r
projects / msg / commitdiff