Das ist halt ein Fakt? Graphene bekommt Kooperation von Google, die sie nicht mehr erhalten würden, würden sie Signature-Spoofing einbauen, wie für MicroG notwendig. Das ist der gleiche Grund warum Lineage OS einfach gar keine Dienste ausliefert (aber dafür halt auch nur nichts halbes und nichts ganze ist, weil das ganze Ökosystem damit funktioniert).
Btw.: sehr eleganter Stil, fast nicht asozial Sounds hier einfügen.
Deren cloud Dienst alleine […]
muss man nicht nutzen. Ich habe meine eigene self-hosted-bei-mir-zuhause Nextcloud eingebunden und die ganzen (ohnehin nicht per default aktiven) Cloud Murena apps (inkl tts) bei der Erstinstallation deaktiviert und die kamen auch nicht wieder. Davon abgesehen ist die Datenübertragung absolut TLS verschlüsselt. Was es nicht hat ist E2E, wie 90% der anderen FOSS und proprietären Lösungen. Du kannst dagegen gerne diese Workspace App self-hosten, wenn du Murena nicht traust, weil es ist FOSS. Dann brauchst du auch kein E2E mehr.
(Edit: Anscheinend hat es sogar E2E mit Murena Vault. Wie gesagt, ich nutze es nicht, aber wenn man das braucht, dann gibt es das… Damit ist deine Aussage nicht nur falsch, sondern fraktal falsch)
/e/ OS habe ich aber auch hauptsächlich erwähnt, weil es die bequemste Methode ist an ein MicroG Custom ROM zu kommen, nicht weil deren eigene Software so toll ist. Du kannst dir das auch alles selbst zusammen frickeln, ist halt mehr Arbeit.
Deren Sandbox macht es ja unmöglich für die Daten zu sammeln.
Sandbox != unmöglich Daten zu sammeln. Und da die Google Dienste proprietär sind hast du auch keine Ahnung was die genau tun. Alles was die brauchen ist ein Zero-Day in der Sandbox und das System ist wieder offen.
Und selbst wenn die Sandbox perfekt wäre, sammeln zumindest die Push-Notifications und die Standortbestimmung entweder weiter Daten wenn aktiviert, oder funktionieren halt einfach nicht. Beides Dinge, die du mit MicroG hast, anonym(isiert) und an Google vorbei. Außerdem ist MicroG komplett ohne Google-Account nutzbar, was mit Graphene, trotz Sandbox, auch nicht geht. Google trackt damit auch mindestens deine über Play installierten Apps und verknüpft alle Daten über deinen Account.
Linaege ist auch schlimmer als Stock OS
Wenn Lineage schlimmer ist als Stock, dann ist Android komplett unbenutzbar. “Stock” impliziert Google Dienste, nichtmal mit Sandbox, ergo komplett und absolut indiskutabel. Irgendeinen Tod muss man sterben, entweder durchwachsene Release-Schedules, oder Googles Stiefel im Gesicht.
Nicht OP bzw Original-Kommentierer, aber fand die Diskussion hier sehr interessant.
Nutze selbst /e/ auf meinem FP ähnlich ohne den Murena Apps, sondern direkt lokale Nextcloud, Fossify Apps (aus F-Droid) und überhaupt kein TTS.
Hatte gestern unter einem Thread zu dem Thema mit Motorola und Graphene nen großen Wall-of-Text zu Unsicherheit von /e/ gesehen der mich selbst etwas verunsichert hat, aber ich glaub das Thema ist einfach sehr polarisiert.
Will ehrlicherweise jetzt auch nicht mein frisches FP hergeben - v.a. kommen da ja auch noch andere Aspekte mit in die Waagschale (Nachhaltigkeit, faire Löhne, aus EU, Reparierbar, Akkutausch…)
Wär nochmal ne andere Diskussion wenn es das auch mit Graphene gäbe.
Bin jedenfalls dankbar hier auch eine Gegenseite bzw Abwägung zu hören ^^
Kannst du mir den Thread verlinken? Würde mich interessieren was die Argumente konkret sind.
Es gibt viel FUD in dem Bereich, man sollte sich nicht von großen Textblöcken verunsichern lassen sondern die Argumente gegenüber dem eigenen Thread-Model evaluieren. Z.B. der sehr unhöfliche Kommentator hier schmeißt mit Aussagen wie “ist unverschlüsselt” um sich, aber selbst wenn er klar bzgl. E2E argumentiert hätte und Murena das nicht hätte, würde es halt stark davon abhängen wie sensibel die Daten sind, die man darauf ablegt, und gegenüber wem man sich absichern will, Murena, Google, NSA, China? Die Prioritäten, wem man traut und wie viel sind entscheidend, nicht wer numerisch mehr grüne Haken in einer Vergleichsmatrix hat.
Aus meiner Perspektive (sorry für die Wall of Text):
Dass Fairphone häufiger Patches/Updates von Upstream pullen könnte stimmt. Das ist nicht /e/ OS spezifisch, aber viele andere der Hersteller, die /e/ OS und Lineage unterstützt sind noch schlechter in der Hinsicht und das im Gegensatz zu Fairphone nicht aus begrenzter Entwicklerzeit, sondern weil es ihnen schlicht egal ist. Google Pixel ist da halt die Ausnahme, weil man die Milch direkt aus der Zitze der (ex-?) Sugarmommy saugt.
Viele der “Das und das und das ist veraltet” Punkte, wie Chrome usw. betrifft hauptsächlich Fairphone OS. Ich weiß nicht wie es mit dem /e/ OS Browser aussieht, ich habe Fennec. Aber da hätte der Kollege wahrscheinlich auch ein Problem damit, weil es “nicht die aktuellsten Patches von Google enthält” (weil es nicht von Google ist).
Sofern ich nichts überlesen habe wird “It also doesn’t keep important standard protections intact” in verschiedenen Variationen immer wieder wiederholt, aber nie im Detail beschrieben. Das (insbesondere das nicht ins Detail gehen) legt für mich nahe, dass es wiedermal um Signature Spoofing geht, was in meinen Augen geschenkt ist, Gründe habe ich erleutert. Die Security die dabei verloren geht ist nicht deine als Gerätebesitzer, sondern die von Google, dass du den Goldenen Käfig nicht aufzumachen hast. Wie sollst du sonst wissen, dass die Software die du aus dem Playstore lädst auch den heiligen Segen von Google hat, und nicht von deiner fiesen Murena Software korrumpiert und trojanisiert wurde. Und dass man das bei Graphene nachplappert, spricht für mich Bände.
Der Punkt “MicroG läuft nicht in der Sandbox also ist /e/ OS schlechter als Graphene” (das der unhöfliche Kollege hier nachgeplappert hat) ist in meinen Augen, wie schon geschrieben, komplett absurd. MicroG ist FOSS, du weißt was es für Daten sammelt und an Google sendet, und dass das exakt genau so wenig wie notwendig ist um die Schnittstellen zufrieden zu stellen, damit die Apps laufen die du brauchst. Du kannst MicroG genauso vertrauen wie dem AOSP-basierten System Image selbst, was ja auch privileged läuft. Dagegen Google Play Services müssen ja gerade gesandboxed werden, weil anzunehmen ist, dass es praktisch eine große Backdoor ist die alles an Daten an sich krakt was es in die Tentakeln bekommt.
Ich verstehe die Perspektive von Graphene, warum Fairphone nicht die richtige Plattform für sie ist. Sind schlicht andere Prioritäten. Wenn man den Post mehr aus dieser Perspektive liest, dann macht er finde ich mehr Sinn. Er ist halt typisch opinionated wie alles was ich bisher von den Graphene Leuten gelesen habe, aber (außer den beiden vorherigen Punkten) nicht grundsätzlich falsch. Was für Graphene zählt ist halt hauptsächlich der höchste Patch-Level in der Nanosekunde zu der ihn Google in den Äther rotzt, weil sonst kommen Russische Hacker und verbrennen ihre $20M Zero-Days um dir deine Katzenbilder und Urlaubsfotos zu stehlen, also fürchte alles was nicht Graphene ist! Ist aber halt Quatsch. Das wird nicht relevant für das Threat-Model des durchschnittlichen Lesers des verlinkenden Reddit-Beitrags sein, wenn sich dieser überhaupt schon mal über ein solches Gedanken gemacht hat. Deswegen betrachte ich diese Art der Argumentation als gefährlichen FUD, wenn es auch nur eine einzige Person verunsichert und davon abhält von irgendeinem Samsung, Google, Fairphone OS oder sonstigen Stock-Dreck auf eine Open Source Alternative umzusteigen, egal ob diese Graphene OS ist, Lineage, /e/ OS oder was auch immer. Wer die beste Sicherheit braucht, weil er möglicherweise ein Target von State-Level-Actors ist und sensitive Informationen auf seinem Smartphone hat, der kauft halt ein Google (oder Motorola, wir werden sehen, ich glaube es nicht) Gerät und läd Graphene drauf. Für mich kommt das nicht in Frage weil ich a) Google keinen müden Cent für irgendwas gebe, und b) die Geräte im Gegensatz zu FP auch alle verklebter Elektroschrott sind der nach zwei Jahren ausgetauscht werden muss, und manche Leute wollen halt auch einfach ihre existierenden oder gebraucht gekaufen Geräte weiter verwenden… Vor meinem FP5 hatte ich ein Galaxy S5 (klte), knapp 10 Jahre in Verwendung (dank damals noch gängigem Wechselakku), da hat der Patch-Level auch nicht mehr gepasst und ich habe trotzdem überlebt.
Das ist halt ein Fakt? Graphene bekommt Kooperation von Google, die sie nicht mehr erhalten würden, würden sie Signature-Spoofing einbauen, wie für MicroG notwendig. Das ist der gleiche Grund warum Lineage OS einfach gar keine Dienste ausliefert (aber dafür halt auch nur nichts halbes und nichts ganze ist, weil das ganze Ökosystem damit funktioniert).
Btw.: sehr eleganter Stil, fast nicht asozial Sounds hier einfügen.
muss man nicht nutzen. Ich habe meine eigene self-hosted-bei-mir-zuhause Nextcloud eingebunden und die ganzen (ohnehin nicht per default aktiven) Cloud Murena apps (inkl tts) bei der Erstinstallation deaktiviert und die kamen auch nicht wieder. Davon abgesehen ist die Datenübertragung absolut TLS verschlüsselt. Was es nicht hat ist E2E, wie 90% der anderen FOSS und proprietären Lösungen. Du kannst dagegen gerne diese Workspace App self-hosten, wenn du Murena nicht traust, weil es ist FOSS. Dann brauchst du auch kein E2E mehr.
(Edit: Anscheinend hat es sogar E2E mit Murena Vault. Wie gesagt, ich nutze es nicht, aber wenn man das braucht, dann gibt es das… Damit ist deine Aussage nicht nur falsch, sondern fraktal falsch)
/e/ OS habe ich aber auch hauptsächlich erwähnt, weil es die bequemste Methode ist an ein MicroG Custom ROM zu kommen, nicht weil deren eigene Software so toll ist. Du kannst dir das auch alles selbst zusammen frickeln, ist halt mehr Arbeit.
Sandbox != unmöglich Daten zu sammeln. Und da die Google Dienste proprietär sind hast du auch keine Ahnung was die genau tun. Alles was die brauchen ist ein Zero-Day in der Sandbox und das System ist wieder offen.
Und selbst wenn die Sandbox perfekt wäre, sammeln zumindest die Push-Notifications und die Standortbestimmung entweder weiter Daten wenn aktiviert, oder funktionieren halt einfach nicht. Beides Dinge, die du mit MicroG hast, anonym(isiert) und an Google vorbei. Außerdem ist MicroG komplett ohne Google-Account nutzbar, was mit Graphene, trotz Sandbox, auch nicht geht. Google trackt damit auch mindestens deine über Play installierten Apps und verknüpft alle Daten über deinen Account.
Wenn Lineage schlimmer ist als Stock, dann ist Android komplett unbenutzbar. “Stock” impliziert Google Dienste, nichtmal mit Sandbox, ergo komplett und absolut indiskutabel. Irgendeinen Tod muss man sterben, entweder durchwachsene Release-Schedules, oder Googles Stiefel im Gesicht.
Nicht OP bzw Original-Kommentierer, aber fand die Diskussion hier sehr interessant.
Nutze selbst /e/ auf meinem FP ähnlich ohne den Murena Apps, sondern direkt lokale Nextcloud, Fossify Apps (aus F-Droid) und überhaupt kein TTS.
Hatte gestern unter einem Thread zu dem Thema mit Motorola und Graphene nen großen Wall-of-Text zu Unsicherheit von /e/ gesehen der mich selbst etwas verunsichert hat, aber ich glaub das Thema ist einfach sehr polarisiert.
Will ehrlicherweise jetzt auch nicht mein frisches FP hergeben - v.a. kommen da ja auch noch andere Aspekte mit in die Waagschale (Nachhaltigkeit, faire Löhne, aus EU, Reparierbar, Akkutausch…) Wär nochmal ne andere Diskussion wenn es das auch mit Graphene gäbe.
Bin jedenfalls dankbar hier auch eine Gegenseite bzw Abwägung zu hören ^^
Kannst du mir den Thread verlinken? Würde mich interessieren was die Argumente konkret sind.
Es gibt viel FUD in dem Bereich, man sollte sich nicht von großen Textblöcken verunsichern lassen sondern die Argumente gegenüber dem eigenen Thread-Model evaluieren. Z.B. der sehr unhöfliche Kommentator hier schmeißt mit Aussagen wie “ist unverschlüsselt” um sich, aber selbst wenn er klar bzgl. E2E argumentiert hätte und Murena das nicht hätte, würde es halt stark davon abhängen wie sensibel die Daten sind, die man darauf ablegt, und gegenüber wem man sich absichern will, Murena, Google, NSA, China? Die Prioritäten, wem man traut und wie viel sind entscheidend, nicht wer numerisch mehr grüne Haken in einer Vergleichsmatrix hat.
Klar, kann ich gerne machen.
War auf Reddit im Subreddit r/degoogle (nutze selbst die App ‘Stealth’ für Reddit, daher die View im Screenshot).
Hier der Link zum kompletten Post: -https://www.reddit.com/r/degoogle/comments/1rjoyvr/motorola_grapheneos_partership/
Und hier der Kommentar selbst:
Link aus dem Kommentar: -https://discuss.grapheneos.org/d/24134-devices-lacking-standard-privacysecurity-patches-and-protections-arent-private
Aus meiner Perspektive (sorry für die Wall of Text):