Show newer

If they indeed have plans to make iCloud Photos E2EE, seems like that's the trade-off. What would you prefer: non-E2EE service with scanning done on remote servers, or E2EE service with scanning done prior to upload? Seems like the latter would benefit to most people.

Of course, I'd argue that neither solution is perfect. As for me, I'm still saying away from services I don't have reasons to trust.

Show thread

Sorry the Twitter link but this thread sums up very well what I think about the Apple CSAM situation: twitter.com/pwnallthethings/st

Please don't spread fallacies. I'm not happy about this either, but it's no reason to not carefully examine all considerations.

Pixelbook powered by Google Tensor + Titan M2, running GrapheneOS would be my dream.

But the lack of desktop-grade apps on Android will persist... iPad is great, but it was too great to let the Android tablet ecosystem evolve. It's too bad Android OEMs decided it wasn't worth putting efforts into it.

That's why I'm very critical towards Debian and the like. You can't say "oh I'm cherry-picking/backporting fixes and it'll be enough".

No it's not enough. It doesn't work that well in practice. Keep up with upstream instead. Is it too hard? Then "make it happen" as they say!

Show thread

> Evidence shows that for Linux CVEs, more than 40% had been fixed before the CVE was even assigned, with the average delay being over three months after the fix.

> Some fixes went years without having their security impact recognized. On top of this, product-relevant bugs may not even classify for a CVE.

> Finally, upstream developers aren't actually interested in CVE assignment; they spend their limited time actually fixing bugs.

Show thread

C'est moi ou de mise à jour en mise à jour l'UI de Signal régresse ? Je suis pourtant ouvert aux changements mais déjà inverser les couleurs des bulles, et maintenant réduire le contraste des couleurs des personnes sans image de profil...

"The best way to insert supply chain exploits is to embed them in a stack exchange answer to a beginner's question."
- news.ycombinator.com/item?id=2

A funny situation that explains why I don't like saying GNU/Linux that much: it can be exclusive to other "traditional" Linux distributions. You should really just call them that.

Show thread

- "I use Linux"
- "No bro, you're using GNU/Linux"
- "I use Alpine Linux, which is a distribution of Linux without GNU coreutils included."
- "Okay but you still use gcc !!"
- "You can compile proprietary software with gcc, would that make it GNU software? Plus, I can compile Linux with clang now."
- 🤯

Après mes essais :
- Les notifications push dépendantes sur FCM fonctionnent.
- Google Camera fonctionne (ravira les amateurs de photo sur Pixel).
- Mais les dynamite modules ne fonctionnent pas encore : pas encore de Maps et Crédit Mutuel refuse encore de fonctionner.

C'est un bon début, franchement. Gardez à l'esprit que cette fonctionnalité est expérimentale !

Show thread

La dernière release stable de GrapheneOS est croustillante !

Le support expérimental des Play Services sandboxed est présent, sans le support des profils secondaires toutefois. Donc si vous voulez garder votre profil principal Google-free, attendez un peu.

Enfin, une toute petite (vraiment) contribution de ma part : GrapheneOS cache par défaut l'option d'utiliser le pattern comme méthode de déverrouillage. C'est une méthode d'unlock qui est blindée de défauts.

Enjoy !

Réponse de GrapheneOS : twitter.com/GrapheneOS/status/

Bien sûr la situation n'est pas rose pour GrapheneOS et iOS. Il y a encore une masse de code énorme écrite dans des langages unsafe sur la mémoire, même si ça bouge lentement, mais sûrement.

Les drivers Wi-Fi/LTE sont aussi gros que des OS à part entière, ce n'est pas une blague. Aujourd'hui chaque appareil a une surface d'attaque juste colossale. On fait ce qu'on peut, avec des jolies sandbox pour isoler tout ça, mais parfois ça ne suffit pas.

Show thread

Et cela vaut même pour GrapheneOS qui ne se vendra jamais "exploit-free". Mais on peut rendre ça plus difficile avec des mitigations, des mises à jour OS+firmware, un modèle de sécurité pour commencer...

Des choses inexistantes sur des vieux smartphones ou en fait la plupart des utilisateurs desktop pour rappel. On est pas tous des personnes ciblées cela dit, mais il est bon d'arrêter la cocasserie.

Show thread

"Ouin ouin y a des 0 days sur les téléphones, ce sont des passoires"

Non, en fait ce n'est pas comme ça que ça fonctionne. Je mets au défi quiconque de trouver une plateforme ciblée dont on ne trouvera pas d'exploits.

On ne tire pas des conclusions hâtives comme ça. Il y a des choses à dire dans la façon dont Apple traite les chercheurs en sécurité, oui, mais autrement il s'agirait de brancher son cerveau.

End-to-end encryption should be part of the Nextcloud Hub already. It shouldn't be marketed as an important security feature when it's incompatible with the latest stable release.

Alors l'idéal est toujours à mon avis de vivre complètement sans Play Services. L'avantage ici est que cette implémentation est sandboxed comme une application normale et n'est pas privilégiée dans le système (ce que microG aurait dû au moins penser à faire).

Néanmoins, ça reste ce que c'est, avec les communications vers/de Google. À terme, il faudrait vraiment utiliser cette feature uniquement sur des profils secondaires pour vos apps qui en ont besoin pour fonctionner.

Show thread
Show older
Mastodon

Just a single-user instance, nothing fancy here. I won't bite, I promise.