N'est-ce pas l'occasion parfaite pour inviter les gens à utiliser F-Droid du coup ? Installer un paquet APK manuellement ça devrait être du dernier ressort de chez dernier ressort : il n'y a pas de gestion de mise à jour, et prendre l'habitude de télécharger des APK depuis internet c'est peut-être pas le top quand on a F-Droid qui existe. VLC y est à jour, justement, et F-Droid est cité sur cette page de téléchargement.
Sinon oui, devoir donner sa clé privée à Google, ça n'a pas de sens. S'ils veulent signer un truc, qu'ils le fassent avec leur clé ou alors il faut changer de manière de distribuer et signer. On peut tout à fait signer une même chose avec plusieurs clés. Dans "clé privée", il y a "privée", on ne peut pas être plus clair sur l'intention du système.
La dernière version date de décembre 2022 (et n'est parue sur F-Droid qu'en février 2023). J'avais des bugs qui n'étaient pas corrigés par cette version et j'ai fini par en avoir marre d'attendre ; j'utilise Auxio désormais. Sauf tout le respect que je dois aux devs (à qui Google ne facilite certainement pas la tâche), je trouve ça vraiment trop lent comme rythme de mise à jour.
Je n'ai pas lié vers le bon commit mais oui, c'est ce que j'essayais de dire : ce n'est pas la version Play Store qui est en retard sur les autres, c'est qu'il n'y a pas de release du tout depuis un an. Maintenant, c'est peut-être parce que le problème posé par Google impacte toute la politique de mise à jour et bloque toute nouvelle release, quel que soit le canal. Ce qui me paraît être le contraire de ce que sous-entendent les autres commentaires ("installez l'APK directement" ou "il suffit de passer par F-Droid" ne résoudraient pas le problème)
J'ai lu plusieurs fois quelqu'un parlant de Auxio. J'ai essayé plusieurs fois et je comprend vraiment pas l'ergonomie du truc où alors y'a un bug car j'ai jamais réussi à lui faire découvrir la musique stockée sur le support de stockage (avec les nombreux autres lecteurs, j'ai pas de problème…)
L'idée c'est que ça va être difficile de pousser la prochaine version sur le Play Store sans donner la clé privée de VLC à Google, ce que l'équipe VLC ne veut pas faire parce qu'on ne partage pas sa clé privée (sinon, la personne avec qui on la partage peut lire les messages qu'on nous envoie et/ou se faire passer pour nous)
Ah c'est ça que j'ai pas pigé ? C'est pour les futures versions ?
Ce que j'avais bien pigé, c'est que Google peut aller se gratter pour récupérer tous les moyens de se faire passer pour VLC !
C'est tellement énorme qu'ils pensent que ça va passer ?
ce que l'équipe VLC ne veut pas faire parce qu'on ne partage pas sa clé privée
Même si nous ne partageons pas les mêmes valeurs sur les question de vie privée &co, j'ai tendance à me dire que les ingénieurs de chez Google ne sont pas des manches et que je ne suis pas plus malin qu'eux. Ils mettent en place des procédures IAM très précises ("ultra précises" :-)). Et paf, ils te sortent un process où tu es censé leur donner ta clé privée. Le contraire du B-A BA de la sécurité. Je ne sais pas trop qu'en penser…
Pareil les gars de chez VLC sont assurément plus malin que moi du coup je ne comprends pas pourquoi ils n'utilisent pas la solution évidente qui me vient à l'esprit : créer une nouvelle clé privée, dédiée à Google. Comme ça elle ne sera pas utilisée chez leurs autres distributeurs "(our website, Amazon AppStore, Huawei AppGalery)". Et en profiter pour avoir une clé par canal. Ainsi la fuite de l'une d'entre elles n'impacterait pas l'ensemble du réseau de distribution.
Pour ton deuxième point, je pense qu'un problème est que ça va générer une rupture dans la continuité de la clef de signature. Or, c'est exactement ce qu'Android vérifie : que la clef de signature ne change pas d'une version à l'autre lors d'une mise à jour. Rien d'autre, pas de chaîne de certificat ou autre toile de confiance. C'est plus ou moins un modèle de sécurité dit opportuniste.
Donc changer la clef de signature de la version Playstore oblige tous les utilisateurs qui ont installé VLC à le réinstaller après avoir eu une alerte de sécurité. Paye ton travail de communication pour gérer le truc !
changer la clef de signature de la version Playstore oblige tous les utilisateurs qui ont installé VLC à le réinstaller après avoir eu une alerte de sécurité.
Ils ont forcément prévu le cas d'une clé compromise (le genre de trucs que je me dis quand j'imagine que leurs ingénieurs sont pas plus cons que moi) et la possibilité de la changer sans alerter tous les utilisateurs. Lui semble le dire.
# F-Droid
Posté par raphj . Évalué à 9 (+7/-0). Dernière modification le 27 mars 2024 à 10:39.
N'est-ce pas l'occasion parfaite pour inviter les gens à utiliser F-Droid du coup ? Installer un paquet APK manuellement ça devrait être du dernier ressort de chez dernier ressort : il n'y a pas de gestion de mise à jour, et prendre l'habitude de télécharger des APK depuis internet c'est peut-être pas le top quand on a F-Droid qui existe. VLC y est à jour, justement, et F-Droid est cité sur cette page de téléchargement.
Sinon oui, devoir donner sa clé privée à Google, ça n'a pas de sens. S'ils veulent signer un truc, qu'ils le fassent avec leur clé ou alors il faut changer de manière de distribuer et signer. On peut tout à fait signer une même chose avec plusieurs clés. Dans "clé privée", il y a "privée", on ne peut pas être plus clair sur l'intention du système.
# VLC pour Android n'a pas été mis à jour depuis des mois, tout court
Posté par Laurent Pointecouteau (site web personnel, Mastodon) . Évalué à 3 (+1/-0).
La dernière version date de décembre 2022 (et n'est parue sur F-Droid qu'en février 2023). J'avais des bugs qui n'étaient pas corrigés par cette version et j'ai fini par en avoir marre d'attendre ; j'utilise Auxio désormais. Sauf tout le respect que je dois aux devs (à qui Google ne facilite certainement pas la tâche), je trouve ça vraiment trop lent comme rythme de mise à jour.
[^] # Re: VLC pour Android n'a pas été mis à jour depuis des mois, tout court
Posté par Nicolas Boulay (site web personnel) . Évalué à 4 (+1/-0).
Le code corrigé existe, c'est un problème avec google.
"La première sécurité est la liberté"
[^] # Re: VLC pour Android n'a pas été mis à jour depuis des mois, tout court
Posté par Nicolas Boulay (site web personnel) . Évalué à 4 (+1/-0).
plus d'infos ici : https://korben.info/securite-android-vlc-devoile-dessous-signature-apps.html
"La première sécurité est la liberté"
[^] # Re: VLC pour Android n'a pas été mis à jour depuis des mois, tout court
Posté par Laurent Pointecouteau (site web personnel, Mastodon) . Évalué à 3 (+1/-0).
Y compris hors du Play Store ? Parce que le billet de sebsauvage et le commentaire de raphj suggèrent le contraire.
[^] # Re: VLC pour Android n'a pas été mis à jour depuis des mois, tout court
Posté par raphj . Évalué à 2 (+0/-0).
La dernière release semble dater de février 2023:
https://code.videolan.org/videolan/vlc-android/-/tags
https://code.videolan.org/videolan/vlc-android/-/tags/3.5.4
[^] # Re: VLC pour Android n'a pas été mis à jour depuis des mois, tout court
Posté par Laurent Pointecouteau (site web personnel, Mastodon) . Évalué à 5 (+3/-0).
Je n'ai pas lié vers le bon commit mais oui, c'est ce que j'essayais de dire : ce n'est pas la version Play Store qui est en retard sur les autres, c'est qu'il n'y a pas de release du tout depuis un an. Maintenant, c'est peut-être parce que le problème posé par Google impacte toute la politique de mise à jour et bloque toute nouvelle release, quel que soit le canal. Ce qui me paraît être le contraire de ce que sous-entendent les autres commentaires ("installez l'APK directement" ou "il suffit de passer par F-Droid" ne résoudraient pas le problème)
[^] # Re: VLC pour Android n'a pas été mis à jour depuis des mois, tout court
Posté par BAud (site web personnel) . Évalué à 3 (+1/-0).
il y a une 3.6.0 en préparation :
après, ça sortira quand ce sera prêt, ça ne te suffit pas ? ;-)
[^] # Re: VLC pour Android n'a pas été mis à jour depuis des mois, tout court
Posté par Psychofox (Mastodon) . Évalué à 3 (+0/-0).
Tout dépend si il y a des vulns qui ont été découvertes dans les librairies utilisées par vlc.
Je n'ai pas vérifié.
[^] # Re: VLC pour Android n'a pas été mis à jour depuis des mois, tout court
Posté par cosmocat . Évalué à 3 (+1/-0).
J'ai lu plusieurs fois quelqu'un parlant de Auxio. J'ai essayé plusieurs fois et je comprend vraiment pas l'ergonomie du truc où alors y'a un bug car j'ai jamais réussi à lui faire découvrir la musique stockée sur le support de stockage (avec les nombreux autres lecteurs, j'ai pas de problème…)
[^] # Re: VLC pour Android n'a pas été mis à jour depuis des mois, tout court
Posté par Laurent Pointecouteau (site web personnel, Mastodon) . Évalué à 2 (+0/-0).
Quel est le comportement de cet écran chez toi ?
[^] # Re: VLC pour Android n'a pas été mis à jour depuis des mois, tout court
Posté par cosmocat . Évalué à 2 (+0/-0).
Quand j'ajoute le répertoire contenant tous les sous-repertoires ayant des fichiers musicaux, après validation il me dit "no music found".
Et j'ai bien vérifié que l'application à accès au stockage…
Et quand j'essaie le mode 'exclure' il trouve quelques fichiers mais aucun de ce répertoire.
Je ne vois pas de fichier '.nomedia' qui pourrait causer le problème.
Pour essayer de comprendre, j'ai copié un fichier en dehors de ce répertoire (le répertoire 'Music' d'Android) et le fichier est détecté.
Donc l'application a un problème avec ce répertoire spécifiquement fait pour mettre la musique 🤯🤔
# 3.5.4 ?
Posté par AncalagonTotof . Évalué à 2 (+1/-0).
Pas tout compris.
La version officielle du site Videolan est la 3.5.4
Comme celle installée sur mon espionphone
[^] # Re: 3.5.4 ?
Posté par raphj . Évalué à 3 (+1/-0).
L'idée c'est que ça va être difficile de pousser la prochaine version sur le Play Store sans donner la clé privée de VLC à Google, ce que l'équipe VLC ne veut pas faire parce qu'on ne partage pas sa clé privée (sinon, la personne avec qui on la partage peut lire les messages qu'on nous envoie et/ou se faire passer pour nous)
[^] # Re: 3.5.4 ?
Posté par Maderios . Évalué à 5 (+3/-0).
Le chantage de google est peut-être une bonne occasion pour faire connaître F-Droid. La dernière version de VLC y est dispo.
https://f-droid.org/en/packages/org.videolan.vlc/
[^] # Re: 3.5.4 ?
Posté par AncalagonTotof . Évalué à 3 (+2/-0).
Ah c'est ça que j'ai pas pigé ? C'est pour les futures versions ?
Ce que j'avais bien pigé, c'est que Google peut aller se gratter pour récupérer tous les moyens de se faire passer pour VLC !
C'est tellement énorme qu'ils pensent que ça va passer ?
[^] # Re: 3.5.4 ?
Posté par Faya . Évalué à 8 (+6/-0).
Même si nous ne partageons pas les mêmes valeurs sur les question de vie privée &co, j'ai tendance à me dire que les ingénieurs de chez Google ne sont pas des manches et que je ne suis pas plus malin qu'eux. Ils mettent en place des procédures IAM très précises ("ultra précises" :-)). Et paf, ils te sortent un process où tu es censé leur donner ta clé privée. Le contraire du B-A BA de la sécurité. Je ne sais pas trop qu'en penser…
Pareil les gars de chez VLC sont assurément plus malin que moi du coup je ne comprends pas pourquoi ils n'utilisent pas la solution évidente qui me vient à l'esprit : créer une nouvelle clé privée, dédiée à Google. Comme ça elle ne sera pas utilisée chez leurs autres distributeurs "(our website, Amazon AppStore, Huawei AppGalery)". Et en profiter pour avoir une clé par canal. Ainsi la fuite de l'une d'entre elles n'impacterait pas l'ensemble du réseau de distribution.
[^] # Re: 3.5.4 ?
Posté par aiolos . Évalué à 8 (+6/-0).
Pour ton deuxième point, je pense qu'un problème est que ça va générer une rupture dans la continuité de la clef de signature. Or, c'est exactement ce qu'Android vérifie : que la clef de signature ne change pas d'une version à l'autre lors d'une mise à jour. Rien d'autre, pas de chaîne de certificat ou autre toile de confiance. C'est plus ou moins un modèle de sécurité dit opportuniste.
Donc changer la clef de signature de la version Playstore oblige tous les utilisateurs qui ont installé VLC à le réinstaller après avoir eu une alerte de sécurité. Paye ton travail de communication pour gérer le truc !
[^] # Re: 3.5.4 ?
Posté par Xanatos . Évalué à 2 (+0/-0).
Très juste, merci pour l'éclaircissement.
Pour ma part je n'avais pas fait attention à ces versions, l'aboutissement de VLC tel quel me convient parfaitement.
[^] # Re: 3.5.4 ?
Posté par Faya . Évalué à 2 (+0/-0).
Ils ont forcément prévu le cas d'une clé compromise (le genre de trucs que je me dis quand j'imagine que leurs ingénieurs sont pas plus cons que moi) et la possibilité de la changer sans alerter tous les utilisateurs. Lui semble le dire.
[^] # Re: 3.5.4 ?
Posté par barmic 🦦 . Évalué à 4 (+2/-0).
S'ils n'ont pas prévu de rotation des clefs, il me semble qu'il y a un gros problème dans la méthodologie.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.