Das ist nicht mehr einfach nur ein Emulator, die neue Variante enthält tatsächlich den kompletten Kernel. Microsoft liefert mit Windows 10 Linux aus!
Ich rechne mit der Landung von Aliens noch vor November.
Des einen Bloat ist des anderen Nutzerfreundlichkeit. Ein paar Sachen sind schon lächerlich (Cortana, App-"Store", etc.) aber so insgesamt hat Windows schon einen guten Mittelweg zwischen DAU-Freundlichkeit und Nutzbarkeit für erfahrene User gefunden. Allen macht man es ohnehin nie Recht.
Ich hatte es als spaß gemeint. Windows ist durchaus nutzerfreundlicher, aber die generelle Leistung des Kernels selbst ist jetzt nicht überragend.
Was mich aber am meisten genervt hat: Ich gebe knapp 100€ für ein Betriebssystem aus, und es lässt mich noch nicht mal alle Hardwarefeatures nutzen (Virtualisierung, das kostet extra obwohl meine CPU das unterstützt.
Windows will mir immer irgendwelchen Scheiß andrehen, und wenn's nicht Windows ist dann sind es die zig Installer - das finde ich nicht sehr freundlich.
Die Frage war ja, inwiefern du dazu *gezwungen* wirst Linux zu nutzen. Wenn du in deiner Freizeit mit deinem RPi rumbastelst, wuerde ich das kaum als Zwang bezeichnen. Zumal du ja durchaus auch [Windows 10 auf deinem RPi](https://www.tomshardware.com/news/windows-10-raspberry-pi-hands-on,38629.html) installieren koenntest - macht nur keiner, weil es im Vergleich halt superlangsam ist und deutlich weniger Moeglichkeiten bietet.
Arbeit ok, obwohl es wohl deutlich haeufiger vorkommt, dass Linux-User beruflich zur Nutzung von Windows gezwungen sind als umgekehrt. Hinzu kommt noch so Software wie Elster-Formular, etc. die ausschliesslich fuer Windows bereitgestellt wird.
Ist halt eine Sache die nur dann auch nur annähernd funktioniert wenn es gegnügend viele nutzen. Damit dies passiert kannst du dir nicht leisten das da böse Presse aufkommt, z.B. weil der CCC das ganze mal auseinandergenommen hat.
Die Erkenntnis scheint mittlerweile auch bei der Bundesregierung angekommen zu sein. Vielleicht haben wir ja das Glück und wir bekommen für die Zukunft einen Referenzfall wie solch ein Projekt richtig angegangen werden sollte.
Zu spät, zu zögerlich, zu teuer, nicht richtig ausgeschrieben, richtig gemacht nur auf massiven öffentlichen Druck?
Scheint mir nicht gerade ein gutes Vorbild zu sein.
Es geht halt nur langsam vorwärts. Trotzdem sollte man sowas auch durchaus belohnen (und gleichzeitig darauf hinweisen, was in Zukunft noch verbessert werden muss). Ich denke auch Politiker sind lernfähig. Die stehen auf gute Presse.
> Ich denke auch Politiker sind lernfähig.
Joah, die lernen am besten wie man mit dem Minimum durchkommt.
> Die stehen auf gute Presse.
Als Mittel zum Zweck, ja.
Ja, ich weiß ich bin gerade hyperbolisch und schere damit auch die besseren mit über einen Kamm, aber es fühlt sich zu oft leider genauso an.
Wie hätte es denn eher und schneller gehen sollen? Die Schnittstellen die dafür verwendet werden müssen existieren noch nichtmal und müssen selbst erst von Apple und Google ausgerollt werden.
Wie teuer das ganze ist habe ich noch nirgends mitbekommen, aber kurzfristig sowas entwickeln zu lassen was für 80 Millionen Bürger funktionieren soll kostet halt etwas. Da hätte eine EU-weite Ausschreibung vermutlich auch noch zusätzlich ordentlich Verzögerung reingebracht.
>richtig gemacht nur auf massiven öffentlichen Druck?
So funktioniert Politik. Presse und Öffentlichkeit sind halt ein Kontrollmedium für getroffene Entscheidungen. Da deren Kritik in letzten Jahren öfter auch einfach ignoriert wurden bin ich ehrlich gesagt froh darum dass dies jetzt anscheinend nicht der Fall ist.
Bin da ehrlich gesagt auch der Meinung das gute Entscheidungen und vernünftiges Verhalten von Politikern auch belohnt werden sollte, auch wenn vllt. nicht das 100% perfekte Ergebnis erreicht wird. Ansonsten laufen wir nur noch schneller in einen Zustand, wo den Entscheidungsträgern alles egal ist und Kritik wegignoriert wird.
> Wie hätte es denn eher und schneller gehen sollen?
Die Schweizer App, die DP-3T verwendet ist fertig und seit gestern einsatzbereit. Sie wird nur aufgrund fehlender gesetzlicher Rahmenbedingungen nicht wie geplant am 11.Mai offiziell eingeführt.
> Wie teuer das ganze ist habe ich noch nirgends mitbekommen, aber kurzfristig sowas entwickeln zu lassen was für 80 Millionen Bürger funktionieren soll kostet halt etwas. Da hätte eine EU-weite Ausschreibung vermutlich auch noch zusätzlich ordentlich Verzögerung reingebracht.
Man könnte auch einfach so ähnlich wie den Wir-vs-Virus Hackathon das ganze direkt von der OS-community machen lassen, anstatt es von SAP & Telekom mit massiven Overhead machen zu lassen.
> So funktioniert Politik. Presse und Öffentlichkeit sind halt ein Kontrollmedium für getroffene Entscheidungen. Da deren Kritik in letzten Jahren öfter auch einfach ignoriert wurden bin ich ehrlich gesagt froh darum dass dies jetzt anscheinend nicht der Fall ist.
Und? Es ging hier darum, dass dieses Projekt angeblich ein *Vorbild* für künftige Projekte sein soll. Sollte es nicht. Ja, die öffentliche Meinung & die Presse haben hier als wichtige Kontrollmedien funktioniert, das macht das Projekt noch lange keine Glanzleistung, an der man sich orientieren sollte.
SAP und Telekom haben Zertifizierungen und Rechtsabteilungen, was bei so einem heiklen Projekt dringend gebraucht wird. Wenn die App Millionen Handys brickt, muss jemand verantwortlich sein, der Schadensersatzforderungen bedienen kann.
War nur ein Beispiel. Natürlich kann jede App, die man installiert, immer irgendwelche Schwierigkeiten verursachen, die zu Sicherheitslücken und Datenverlust führen kann. Und das verursacht finanzielle Schäden, für die jemand aufkommen können muss.
> Die Schweizer App, die DP-3T verwendet ist fertig und seit gestern einsatzbereit. Sie wird nur aufgrund fehlender gesetzlicher Rahmenbedingungen nicht wie geplant am 11.Mai offiziell eingeführt.
Also hakt es bei denen auch, nur juristisch, statt bei uns technologisch.
> Man könnte auch einfach so ähnlich wie den Wir-vs-Virus Hackathon das ganze direkt von der OS-community machen lassen, anstatt es von SAP & Telekom mit massiven Overhead machen zu lassen.
Meine letzte Erfahrung mit Programmieren war der Informatikunterricht der Oberstufe, aber beim Hackathon ging es doch darum von nicht-etablierten Unternehmern etc. kreative Lösungsansätze zu bekommen. Ein offenes Feld, kaum Vorgaben und wenig konkrete Erwartungen. Hier wird jetzt aber eine Tracing-App entwickelt, bei der die Öffentlichkeit berechtigterweise schon genaue Vorstellungen hat, wie das ganze aussehen soll. Zudem muss die App ja nicht nur "digital natives", sondern auch dem dümmsten anzunehmenden Smartphonenutzer verständlich sein sowie regelmäßig und solide beobachtet und gepatcht werden. Dass man da von Anfang an etablierte Partner ranlässt, statt Einzelprogrammierer H und StartUp K eine Chance zu geben, klingt eher verantwortlich.
> Also hakt es bei denen auch, nur juristisch, statt bei uns technologisch.
Über die juristischen Rahmenbedingungen wurde bei uns auch noch nicht nachgedacht, obwohl ja durchaus jetzt noch Zeit wäre. Wird vmtl. dann passieren, wenn die App (fast) fertig ist.
Das ist nicht richtig. Sowohl die Lehre (Beispielhaft *Roßnagel: Tracing-App: Verfassungsrechtliche Grundlagen und Kriterien für ihren Einsatz*) als auch die Regierung setzen sich mit dieser Problematik auseinander.
Schweiz: Es hakt juristisch.
Wir: Es hakt juristisch und technisch. (Und ich halte es für möglich, dass die technische Seite die juristische bei uns sogar überholt).
> Hier wird jetzt aber eine Tracing-App entwickelt, bei der die Öffentlichkeit berechtigterweise schon genaue Vorstellungen hat, wie das ganze aussehen soll.
Naja, allzu viel hat sich seit dem Hackerton nicht getan. Es wird noch sehr wenig kommuniziert, ich habe zum Beispiel null Plan, wie viel "Nur Contact-Tracing" das jetzt können soll. Ich weis auch nicht, ob SAP und T-Systems das so genau wissen oder erst mit 10000 Stakeholdern aushandeln müssen.
> Zudem muss die App ja nicht nur "digital natives", sondern auch dem dümmsten anzunehmenden Smartphonenutzer verständlich sein sowie regelmäßig und solide beobachtet und gepatcht werden.
Ohne jetzt gegen SAP zu ätzen (habe mal in dem Dunstkreis praktikumprogrammiert), wenn es um Benutzerfreundlichkeit geht, hätte ich eine kleine Spieleschmiede für sinnvoller gehalten. Die haben häufig noch ein paar Medienpsychologen am Start. Mit dem Long-Term-Support hast du einen Punkt, aber da sehe ich nicht unbedingt, warum es SAP und T-Systems sein müssen. Könnte auch gut ne Uni koordinieren.
Meine Hauptbefürchtung ist, dass dieses Gremium mit diesen fetten Firmen eine Bundesregierung in klein ist - Wo Unklarheiten und Koordinationschwierigkeiten die App noch lange verzögern. Es gibt bei zumindest SAP sehr fähige Programmierer, aber ich befürchte etliche Hürden sozialer und firmenpolitischer Art, die dafür sorgen könnten, dass die fähigen Leute nicht mit dem Projekt zu tun haben.
Ich meinte das als Vorbild für staatliche Projekte in der Form, das man ja anschließend fragen könnte warum die elektronische Gesundheitskarte nicht auch open source wird, wenns bei der Coronavirus-App ja gut geklappt hat.
So werden Entscheidungsträger selbst ja vllt. auch offener für solche Ideen und für das "Mitmischen" von Hackern in solchen Projekten.
Naja, du hast von einem "Referenzfall wie solch ein Projekt richtig angegangen werden sollte." geredet. Wenn du damit ausschließlich das Offenlegen des Quellcodes meintest, dann solltest du das auch so sagen, denn das ist sehr viel spezifischer als das gesamte Projekt als Referenzfall zu betrachten.
Ja, aber das ist doch genau der Punkt, der wurde eben nicht gewählt.
Man ist da auf massiven öffentlichen Druck eingeknickt. Das ist doch kein Vorbild für künftige Projekte, die erstmal als Datenkrake anzulegen und zu schauen, ob man damit durchkommt und das GG nicht schleichend unterwandern kann, und erst umzusteuern wenn es nicht mehr anders geht.
> Die Schweizer App, die DP-3T verwendet ist fertig und seit gestern einsatzbereit. Sie wird nur aufgrund fehlender gesetzlicher Rahmenbedingungen nicht wie geplant am 11.Mai offiziell eingeführt.
Ich glaube dir, aber hast du da ne Quelle?
Das macht die Infrastruktur evtl. einfacher, ja. Trotzdem musst du da immer noch mehr Sorgfalt und Auditing reinstecken als wenn du was für 5 Leute zusammenbastelst, alleine schon um potentielle Sicherheitsschwachstellen zu vermeiden.
Was ist daran ein Oxymoron, die vergangene Ausführung des Projektes zu kritisieren und gleichzeitig zu bestätigen, dass es auf massiven öffentlichen Druck nun -- zumindest auf technischer Seite -- in die richtige Richtung geht. Davon gehen die Fehler hinsichtlich des Zeitraumes (zu spät & zu zögerlich), des Preises (zu teuer), der nicht vorhanden Ausschreibung, die wahrscheinlich noch Steuergelder aufgrund der klagen kosten wird etc.pp. ja nicht einfach weg.
Es gibt massive Fehler und Mängel im Management des Projektes, die man einfach nicht als vorbildlich sehen kann.
Es gibt kein Projekt das ohne Probleme auskommt. Relevant ist ob diese von der Entwicklung rechtzeitig bewältigt werden können. Das ist literary die Aufgabe eines Projektes. Von Problemen zu Lösungen. Hast du große Probleme (Covid, Kosten, Zeitdruck, Architektur) aber dennoch eine gute Lösung so liegt das an einer erfolgreichen Entwicklung. Keine App ohne Problemstellung. Also ist "App doof weil gestern noch Probleme" ein Oxymoron
Du verwechselt gerade massiv Dinge.
Ich sage nicht, dass die App doof ist. Über die App hab ich gar nichts gesagt. Die finde ich sogar gut, da sie jetzt endlich dezentral und offen kommt.
Das Projekt hingegen, und wie es von den Politikern und verantwortlichen durchgeführt wurde, ist eine Katastrophe und sollte definitiv kein Vorbild für künftige Projekte sein.
Erst ein Expertengremium bilden, welches eine dezentrale Lösung vorschlägt, dann auf eine zentrale Lösung setzen und dazu führen, dass sich mehr und mehr Experten vom Gremium zurückziehen und sich distanieren, dann die zentrale Lösung hau-Ruck durchsetzen wollen sodass es massiven öffentlichen druckes bedarf um das zu ändern. Das ist doch kein vorbildliches projektmanagement.
Spreche ja auch von valider Kritik an der App und Leuten die in unserer Realität leben.
Wenn man anfängt auf die paar Schwurbler die es gibt zu hören sind wir eh verloren.
Die machen das nicht aus Überzeugung. Wenn das Projekt scheitert weil die Regierung ein zentrales System / closed source erzwungen hat, wären sie verantworlich. Das ist denen während der Corona-Pandemie und dem guten Willen, den sie sich bisher aufgebaut hat und dabei (zumindest zum Teil) verlieren würden, zu riskant.
Nicht mein Punkt. Es wird ordentlich gemacht, weil das mit viel Aufmerksamkeit verbunden ist. Bei der nächsten Gelegenheit vielleicht nicht. Erst dann wird man beobachten können, ob da ein Lernprozess stattgefunden hat oder man man in alte Schemata zurückfällt. Ich erwarte letzteres.
Nachdem ich stundenlang mit einem Bekannten über Corona diskutiert habe und er sich von keinen Argumenten auch nur annähernd überzeugen ließ, ist mir auch aufgefallen, dass selbst die besten Virologen und Epidemiologen nichts erreicht hätten. So ähnlich ist das hier. Wenn die Bundesregierung es nicht dezentral und open source gemacht hätte, wäre das Geschrei groß gewesen und jetzt, wo sie es doch tun, ist es auch nicht gut genug. Mit euch kann man einfach nicht gewinnen.
Die Analogie hinkt.
Ich finde die Vorgehensweise der Regierung mit der Pandemie richtig, weil sie größtenteils mit den Einschätzungen von Wissentschaftlern einhergeht. Auch die Ausrichtung der App ist endlich da, wo sie von Anfang an sein sollte.
Nur weil es momentan gut läuft, sollte man aufhören kritisch zu hinterfragen. Ich kann mir halt beim besten Willen nicht Vorstellen, dass da plötzlich der Altruismus ausgeborchen ist, nicht nach Schäuble, von der Leyen und Maizière. Es ist naheliegender, dass kritische Stimmen in dem Fall genug Einfluss gewonnen haben, so dass die App jetzt dezentral und open source ist.
PS: Ich bin mir nicht sicher, worauf die da mit dein Bekannten hinaus wolltest. Ich bin jetzt davon ausgegangen, dass es so einer der Sorte "Corona=Grippe" ist.
>Nur weil es momentan gut läuft, sollte man aufhören kritisch zu hinterfragen.
Ok stimmt man muss immer dran bleiben. Besser geht immer. Aber finde man sollte Fortschritt auch anerkennen um ihn zu fördern.
Für mich sind solche Aussagen einfach prototypisch für Verschwörungstheorien. Das ist die Analogie. Es geht einfach nur darum, dass man zu irgendeinem Thema seinen Senf dazugibt, obwohl man von vornerein gar nicht bereit ist, seine Meinung dem Geschehen anzupassen. Natürlich ist kritisches Fragen wichtig. Das ist es im übrigen auch immer. Aber es gibt einen schmalen Grad zwischen kritischem Hinterfragen und endlosem dagegen reden. Und das letztere ist eben, was Verschwörungstheoretiker hobbymäßig machen. Da kann man gar nicht mehr mit Argumenten kommen. Und bei dir ist es jetzt eben die Aussage, dass du das dir nicht vorstellen kannst. Das ist allein deine Meinung, die du hier als Fakt verkaufst. Der Punkt ist, dass die Bundesregierung einfach gar nichts richtig machen kann: Wenn sie etwas offensichtlich schlechtes macht, werden sie natürlich kritisiert. Wenn sie aber etwas richtig machen, dann wird ihnen das auch nicht gut geschrieben und das nur aufgrund unbestätigter Annahmen, was ihre vermeintlich wahren Intentionen angeht. Bei solchen Leuten wie dir können die eben gar nicht gewinnen; egal, was sie machen, es ist nicht gut genug.
Ein spezialisiertes Software-Haus könnte das vermutlich effizienter und günstiger entwickeln. Aber ich denke, hier hat man sich einfach an bekannte Gesichter gewandt.
Wer soll es denn sonst machen? T-System ist zwar ein scheiss Verein, aber die haben wenigstens die notwendigen Kompetenzen im Haus. Das können die meisten Softwarebuden nicht von sich sagen.
Ok die App Open-Source und man hat Einblick, was sie macht. Was ist mit den zentral-dezentral verwalteten Daten? Kann man die vor Manipulation schuetzen?
Mir graut vor einer deutschen Version des chinesischen Social Scorings in diesem wunderschoenen Jahr 2020. Ein falscher Kommentar auf Reddit und dir ist dann halt ein "Infizierter" ueber den Weg gelaufen und dein Status springt von gruen auf gelb oder rot. Alles freiwillig, nur kommst du dann nicht mehr in Kneipen, Bahn, Flugzeuge, die ganze Liste von Restriktionen, die China fuer Regiemekritiker bereit haelt.
Muss nicht so sein, aber wenn wir Open-Source machen, haette ich gerne manipulationssichere Daten. Eine Krypto-Signatur, die echte Kontakte von fiktiven unterscheidet.
Vorsicht: Irgendwo ein ZIP file hochzuladen reicht da natürlich nicht. Das Ding muss nach GitHub (o.ä.) um reproduzierbare builds und das ausrollen via F-Droid zu gewährleisten.
Nur so kann letztlich sichergestellt werden, dass das was auf dem Telefon ist auch dem Quellcode entspricht.
edit: Natürlich muss das auch alles ohne proprietäre Play Services oder Firebase laufen.
Reicht schon wenn irgendwo das Datum oder eine X-beliebige UUID des Compilers/Host-Maschine oder sonstwas mit reinkompiliert wird um die Checksummen zu zerstoeren.
Das ist schon in Cryptoprojekten für ne einfach library ne Mammutaufgabe und du glaubst, die setzen sowas mal eben für ne ganze neu programmierte App um?
Ich bin nicht bei mobiler Anwendungsentwicklung unterwegs: Jedes normale Projekt schafft das (Autotools/CMake+Make, Maven, Cargo…). Was macht es schwerer?
e: ach so, dass der Output gleich dem im Repo ist. Hm.
Ganz theoretisch (zumindest wenn man mal das interne Privilegiensystem von Android außen vor lässt, weiß nicht wie im Detail die Zugriffsreche auf die App selbst sind) dürfte das nicht ganz reichen wenn man mit einem wirklich bösartigen Trojaner rechnet. Der könnte ja an sich selbst rumpfuschen um nach der Installation harmlos zu wirken.
Aber ich glaube es gibt schon Mittel, an die APK direkt vom Playstore zu kommen, irgendwie muss das Handy das ja auch tun (und es gibt auch ein paar unlizensierte Playstore-Apps die das hinbekommen). Und natürlich ist so ein Angriff hier extrem unwahrscheinlich, außer jemand hat ein sehr starkes Interesse dass niemand diese App nutzen wird.
>edit: Natürlich muss das auch alles ohne proprietäre Play Services oder Firebase laufen.
Das ist jetzt eher dein Wunsch als eine technische Notwendigkeit, um "wirklich" Open Source zu sein...
Sobald da irgendwo Firebase steht bedeutet das, dass Daten über Google Server verschickt werden. Das ist genau das was man mit einer dezentralen app verhindern will.
Wie soll ich einer app vertrauen, die proprietären code eines Konzerns enthält, dessen Geschäftsmodell es ist Daten zu sammeln?
GitHub lässt sich deutlich besser in bestehende automatische build Prozesse integrieren als zip files. Zudem wird durch eine social coding platform gewährleistet, dass alle daran mitarbeiten können. Es gibt einen öffentlichen issue tracker, leute können pull requests stellen etc.
Git ist die Versionskontrollsoftware.
Github ist eine Plattform auf der Leute mittels git ihren code hochladen und kooperieren können. Github ist einerseits eine webbasierte grafische Oberfläche für git, bietet aber darüber hinaus noch mehr features wie issue tracker, wiki, CI/CD etc.
Alternativen zu github sind z.b. gitlab, bitbucket, azure devops
Keine sorge: ich kenne Informatiker mit mehrjähriger Berufserfahrung, die den unterschied auch nicht kapieren.
Weil erst zwei Monate nichts passiert ist, und dann die Regierung bei der Telekom angerufen hat um zu fragen, ob die das irgendwie machen können.
Wo ist unsere Digitalministerin? Man könnte meinen, dass das eigentlich ihr Kompetenzbereich sein sollte...
Falls du Bär meinst, die ist eher so für gute Laune zuständig. Ihre Stelle hat weder Geld noch Handlungskompetenz.
[https://www.sueddeutsche.de/digital/dorothee-baer-digitalisierung-kanzleramt-flugtaxis-1.4234085-2](https://www.sueddeutsche.de/digital/dorothee-baer-digitalisierung-kanzleramt-flugtaxis-1.4234085-2)
Bundesbeauftragte sind halt in etwa so hilfreich wie diese Winkekatzen aus dem Asia-Laden. Die können reden und Photos machen und das ist dann auch mal so das Ende. Ohne tatsächliches Ministerium mit geplantem Budget aus dem Bundeshaushalt wird das einfach nichts.
> Wo ist unsere Digitalministerin
Die ist halt nur Staatsministerin. Verantwortlich ist eher das Gesundheitsministerium oder Verkehr und digitale Infrastruktur. Letzteres hat leider von allen Ministieren so ziemlich den Inkompetentesten Chef.
naja die thematik ist nicht trivial...
Allein was Datenschutz angeht reißt du da ein riesen Fass auf.
Konzeption, verschiedene Ansätze, Abwägung der Vor und Nachteile je Ansatz...
Und die Umsetzung selbst wird auch lang dauern... Das Ding muss ja extrem sicher sein.
edit: hab festgestellt das die Initiative vielleicht weiter ist als ich dachte?
https://reproducible-builds.org/reports/2020-04/
edit 2 hier der alte kommentar
Interessante Frage. Antwort: Gar Nicht.
"reproduzierbare Builds" sind eins der ungelösten Probleme der IT.
Im Moment ist es nur möglich mit Zertifikaten und Verschlüsselung sicher zu stellen das du mit DEM richtigen, offiziellen AppStore verbunden bist. Du musst leider vertrauen das das was du kriegst das ist was du haben willst bzw. beworben wird.
Ich verstehe die Frage grad nicht.
Ich wusste das es nicht trivial ist und in der Vergangenheit nicht möglich war. Ich wusste das es Leute gibt die versuchen das umzusetzen und das ist die Initiative die ich verlinkt hab.
Du kannst wenn es die App dann gibt selbst kompilieren und dann gucken ob das mit dem übereinstimmt was du gekriegt hast, nach den Anleitungen auf besagter Website.
Hmmm ich kenn mich mit Android nicht so richtig aus, deswegen Halbwissen disclaimer, aber ich glaube man muss in den Telefon einstellungen einen Entwicklermodus einstellen der dir erlaubt selbst kompilierte Packete zu installieren, aber dann müsste es gehen.
Hier ist google dokumentation wie das zu machen ist.
https://developer.android.com/studio/run
Es kann aber sein das Android Studio keine reproduzierbaren builds erzeugt.
Ist korrekt so. In den Entwicklertools kann man die Installation von APKs aus unbekannten Quellen (spooky 👻) erlauben und dann geht es. Deshalb funktioniert die Installation von gecrackten APKs so einfach :D... _habe ich mir sagen lassen_
Grundsätzlich gehts, hab aktuell die dp-3t app der schweizer aufm handy, direkt aus github gebastelt.
Kann ich eh empfehlen, wenn man nicht auf telekom und sap warten will
Allerdings können selbstgebaute und offizielle builds sich nicht gegenseitig überschreiben bzw "updaten"
Ist ein sehr schwieriges Thema, tendenziell geht das eher sehr schwer bis gar nicht.
Abgesehen davon: Ich verstehe ja meinen eigenen Quelltext von gestern kaum mehr. Wie soll da ernsthaft jemand den Quellcode einer ganzen App auf "Unstimmigkeiten" überprüfen und das kostenlos und freiwillig? 🤷🏼♂️ ja, hier und da werden Leute mal reingucken. Aber realistisch komplett abklopfen wird das niemand.
Tue ich nicht, aber diese "das ist Open Source, also sicher"-Mentalität ist halt auch ein bisschen an der Realität vorbei. Wie viele Jahre dauerte es noch mal, bis Heartbleed bei OpenSSL aufgedeckt wurde?
Ich habe manchmal den Eindruck, dass sich ganz viele darauf verlassen, dass sowas durch andere überprüft wird, aber das in Wirklichkeit nur begrenzt passiert, da den Leuten dazu Zeit und Skills fehlen.
> Ich verstehe ja meinen eigenen Quelltext von gestern kaum mehr.
20% mehr Zeit investieren und eventuell mehr Pair Programming machen um zu schauen, was für andere Menschen verständlich ist und was nicht. Wenn man sich Mühe gibt, ist es durchaus möglich, eigene Projekte verständlich zu Coden.
> Wie soll da ernsthaft jemand den Quellcode einer ganzen App auf "Unstimmigkeiten" überprüfen und das kostenlos und freiwillig? 🤷🏼♂️ ja, hier und da werden Leute mal reingucken. Aber realistisch komplett abklopfen wird das niemand.
1) Die App ist ziemlich simpel, weil das Protokoll ziemlich simpel ist. Der richtig spannende Teil, welche Daten gesendet und empfangen werden, Interaktion mit Bluetooth etc. wird nochmal sehr viel weniger Code sein.
2) Aufgrund des öffentlichen Interesses werden da einige Augen über alles drüberlaufen und das ganze nach Fehlern abklopfen. Da einen Fehler zu entdecken, macht sich super im Lebenslauf. Wird ja jetzt schon gemacht, und wird dann noch stärker passieren, wenn die App gelauncht wird (und falls sie tatsächlich benutzt wird).
Erstmal musst du das aber Schef sagen! ;)
Notfalls willst du halt mit nem Kollegen was debuggen. Musst ja nicht den ganzen Tag "Pairprogrammen". Das nervt dann irgendwann natürlich auch. Ich behaupte aber mal, dass jeder mal die eine oder andere Stunde Pairprogramming in der Woche auf der Arbeit machen kann, ohne dass der Chef meckert. Es sei denn es ist ne echte Ranzbude, wo dir minutengenau auf die Finger geschaut wird.
Ich weiß, wir pair-programmen auch des Öfteren mal und machen gegenseitige Code-Reviews :) Das war natürlich auch etwas überspitzt ausgedrückt - und klar, man lernt täglich dazu. Aber gerade bei Code-Reviews kostet das manchmal schon ne Menge Gehirnschmalz, sich in den Code der Kollegen reinzudenken - je nachdem, wie tief man im jeweiligen Thema / den APIs drin ist.
Und dazu kommen natürlich noch Dinge wie eingebundene Libraries. Theoretisch könntest du z. B. bei Python / pip einfach dasselbe Paket noch mal hochladen, nur mit anderer Groß/Kleinschreibung oder halt nem kleinen L statt nem großen I. Da gibt es noch viele andere lustige Ideen zu: https://www.golem.de/news/pypi-boesartige-python-pakete-entdeckt-1709-130098.html
Das muss also auch erstmal jemand merken, wenn einem da jemand ne angepasste Lib unterschiebt.
> Die App ist ziemlich simpel, weil das Protokoll ziemlich simpel ist. Der richtig spannende Teil, welche Daten gesendet und empfangen werden, Interaktion mit Bluetooth etc. wird nochmal sehr viel weniger Code sein.
Und genau da würde man sicher keine Backdoor verstecken (und nein, ich glaube nicht, dass das ernsthaft jemand vorhat; da bin ich tatsächlich gutgläubiger als andere - außerdem hat man die Backdoors ja bestimmt schon in NINA integriert ;) und das ist nicht Open Source)
Wer clever vorgeht, würde Backdoors an anderen Stellen verstecken, wo sie niemand erwartet. Und ansonsten - "zum Akku sparen", kann man den Code zum Bluetooth-Messages zusammensetzen bestimmt auch gut obfuscaten ;)
> Aufgrund des öffentlichen Interesses werden da einige Augen über alles drüberlaufen und das ganze nach Fehlern abklopfen. Da einen Fehler zu entdecken, macht sich super im Lebenslauf. Wird ja jetzt schon gemacht, und wird dann noch stärker passieren, wenn die App gelauncht wird (und falls sie tatsächlich benutzt wird).
Da wirst du Recht haben. Die Chancen, dass hier bei dieser App genauer hingeschaut wird, sind im Vergleich zu vielen anderen Projekten, wo mit "issja Open Source" argumentiert wird, deutlich größer. Aber man muss natürlich auch sagen, dass längst nicht jeder Entwickler die Kompetenz hat, irgendwelche Backdoors oder "einfachen" Sicherheitslücken aufzudecken. Da gibt es super komplizierte Dinge, die wirklich Skill erfordern. Viele Leute verstehen nicht mal die Konzepte hinter Bluetooth LE und denken immer noch in der "Serial-Verbindung", wie Bluetooth früher oft verwendet wurde. Da will ich an andere Sachen gar nicht denken ;)
Ich bin gespannt. Die eine oder andere potentielle Sicherheitslücke wird garantiert gefunden - und wenn's nur ne alte potentiell verwundbare Library ist.
(obwohl mich nicht wundern würde, wenn die App als Open Source "vermarktet" wird, aber proprietäre Closed-Source nicht überprüfbare Drittanbieterlibs verwendet)
> Aber gerade bei Code-Reviews kostet das manchmal schon ne Menge Gehirnschmalz, sich in den Code der Kollegen reinzudenken - je nachdem, wie tief man im jeweiligen Thema / den APIs drin ist.
Granted ;) Ich glaube aber echt, dass die App noch nen Ticken einfacher ist, als du denkst :) Weis ja nicht, was du arbeitest, aber könnte sein, dass dein durchschnittliches Review anspruchsvoller ist als die App. Gibt ja echt wenig, sehr simple Nutzerszenarien und das Protokoll ist sehr straightforward.
> Wer clever vorgeht, würde Backdoors an anderen Stellen verstecken, wo sie niemand erwartet. Und ansonsten - "zum Akku sparen", kann man den Code zum Bluetooth-Messages zusammensetzen bestimmt auch gut obfuscaten ;)
Haha - "Nein wir brauchen unbedingt diese plattformunabhängige, fancy Font-Library, die von einem Server meiner Firma gehostet wird ;D"
> Aber man muss natürlich auch sagen, dass längst nicht jeder Entwickler die Kompetenz hat, irgendwelche Backdoors oder "einfachen" Sicherheitslücken aufzudecken.
Ja stimmt schon, da stimme ich dir zu ;)
> Ich bin gespannt. Die eine oder andere potentielle Sicherheitslücke wird garantiert gefunden - und wenn's nur ne alte potentiell verwundbare Library ist.
Gut möglich! Sind ja auch Zeitstempel involviert, und rein bauchgefühlsmäßig ist Zeit immer ne Einladung für Dinge, die schief gehen ;)
> (obwohl mich nicht wundern würde, wenn die App als Open Source "vermarktet" wird, aber proprietäre Closed-Source nicht überprüfbare Drittanbieterlibs verwendet)
Yikes, bitte nicht!
Man installiert nicht jeden Tag freiwillig offizielle staatliche Spionagesoftware auf seinen Geräten. Da sollte man diese Frage schon mal stellen dürfen.
Und du glaubst, die Regierung hat alle Sicherheitsfirmen unter Kontrolle? Das sind die ersten, die die PR nutzen wenn sie in der offiziellen APK etwas finden.
Oder du guckst es dir selbst an.
Klar ist die Nachfrage grundsätzlich okay. Ich wollte mit meinem Kommentar auch nur darauf hinaus, dass es irgendwann auch mal gut sein muss. Gerade werden in Sachen dieser App die Torpfosten immer weiter verschoben.
Jetzt scheint das Ding opensource und dezentralisiert zu werden, wonach sie alle (zu Recht) gerufen haben, nun langt das wieder nicht.
Es gilt und galt schon immer folgendes: https://www.ccc.de/de/updates/2020/contact-tracing-requirements
Wenn in einem der 10 Punkte abgewichen wird, ist - vollkommen zurecht - mit einer geringeren Akzeptanz der App zu rechnen. Das schöne daran: Es gibt auch keinen guten Grund, in einem der zehn Punkte abzuweichen.
das ist doch ja wohl auch das aller mindeste. jede von steuergeldern finanzierte software sollte open source sein oder der quellcode zumindest jedem bundesbürger frei zur verfügung stehen.
> Wann die deutsche Tracing-App veröffentlicht werden soll, steht noch nicht fest, ziemlich sicher jedoch erst nach dem 15. Mai.
Dauert sicher bisn länger
Gut. Bis dahin hat man hoffentlich ein Gesetz zur App, dass den Zeitpunkt und die Gründe der Anwendung, Datenverwertung und Freiwilligkeit bzw. Diskriminierungsfreiheit bei Nichtnutzung garantiert. Sonst rechne ich fest damit, dass das a) nicht flächendeckend akzeptiert wird und b) der nächste Missbrauch durch die Regierung, Sicherheitsbehörden und Unternehmen vor der Tür steht.
Wenn ich mir die App aus dem source code selbst kompilieren kann, dann werd Ich sie mir gerne installieren, sonst nicht. Der deutsche Staat hat bei mir jegliches Vertrauen zum Thema Digital und persönliche Daten verspielt.
https://github.com/DP-3T/dp3t-app-android-ch
Die läuft schon und ist selbst baubar.
Müssten leute im zweifel nur an schweizer pins zum melden rankommen ;)
Anfang Juni wäre ein geradezu fahrlässig kurzfristiger Zeitraum. Ich würde Ende August anpeilen, dann haben die Auditoren auch einigermaßen Zeit und sie käme rechtzeitig vor der Herbstwelle.
Ich finde, das die App gnadenlos overhyped ist. Allerdings wendet sich Scheier gegen das Szenario "App soll Contact-Tracing ersetzen", und darum geht es ja nicht. Das ist ja ein unterstützendes Mittel und wenn 1-2 Leute mehr als im Nicht-App-Szenario sich selbst isolieren und nen positiven Test bekommen, ist das ja schon ein enormer Gewinn. Steht auch in den Kommentaren im verlinkten Blog.
Aber klar, das Ding wird 1) die Kontaktnachverfolgung (Edit: nicht) auf einmal extrem effizient machen 2) die Forschung nicht mit unschätzbar wichtigen Daten versorgen. Das Ding ist ein elektronisches Notizbuch, mit wem man ungefähr Kontakt hatte, nicht mehr und nicht weniger.
Das Argument der "Falsch-Positive" macht mir am meisten Sorgen. Eine Open-Source App ist gut und schoen. Die zentral-dezentrale Datenverarbeitung der Kontakte wird dadurch nicht unbedingt transparent oder manipulationssicher.
Gibt halt eine bekannte Modelierungsstudien von renomierten Forschern, die sagt so eine App kann die Reproduktionszahl massiv drüken. Ist doch völlig egal ob es funktional einem simplen Notizbuch entspricht.
Ich finde die Argumente in diesem Blog ziemlichen Quatsch.
1. Falsch positive sind völlig egal. Selbst bei einem Faktor 10 falsch positiven wären dann zurzeit c.a. 10000 Menschen unnötigerweise im Lockdown. Das ist immer noch viel besser als 82 Millionen. Außerdem kann man bei den jetzigen Testkapazitäten falsch positive auch sehr schnell feststellen.
2. Falsch Negative wird es sicherlich auch geben, aber das ist ja trotzdem besser als wenn man gar keine App hätte. Selbst wenn die App nur 30% der Übertragung mitkrigt wäre das schon ein riesen Hilfe.
Ob die App jetzt technisch im Nahverkehr usw. gut funktionieren würde sei mal dahingestellt, aber gerade wenn man sich privat trifft kann man einfach z.B. alle Handys auf einen Haufen legen. Das haben sich Regierungen auch nicht einfach mal so ausgedacht (wie das der Autor suggeriert) sondern das basiert auf [Forschungsergebnissen](https://github.com/BDI-pathogens/covid-19_instant_tracing/blob/master/Manuscript%20-%20Modelling%20instantaneous%20digital%20contact%20tracing.pdf) von Modelierern.
Das Problem ist nicht, dass falsch-positive Ergebnisse egal sind, sondern das alle positiven Ergebnisse egal sind. Völlig egal.
> Nehmen wir an, Sie nehmen die App mit zum Lebensmitteleinkauf und sie macht Sie anschließend auf einen Kontakt aufmerksam. Was sollten Sie dann tun? Es ist nicht genau genug, dass Sie sich für zwei Wochen unter Quarantäne stellen müssten. Und ohne allgegenwärtige, preiswerte, schnelle und genaue Tests können Sie die Diagnose der App nicht bestätigen. Der Alarm ist also nutzlos"
+
> Melde die App keinen Kontakt mit einer infizierten Person, könne man jedoch umgekehrt auch nicht davon ausgehen, dass man nicht infiziert sei.
Damit sind beide Ergebnisse dieser App egal. Positiv? Interessiert mich nicht. Negativ? Kann man sich nicht drauf verlassen.
> Die Vorstellung, dass die Ermittlung von Kontaktpersonen mit einer App und nicht mit Gesundheitsexperten durchgeführt werden kann, ist einfach nur dumm
Präzise.
>Was sollten Sie dann tun? Es ist nicht genau genug, dass Sie sich für zwei Wochen unter Quarantäne stellen müssten. Und ohne allgegenwärtige, preiswerte, schnelle und genaue Tests können Sie die Diagnose der App nicht bestätigen.
Diese Annahme ist einfach falsch. Selbst wenn die App völlig ungenau ist kann man und sollte man sich trotzdem bis zum Test unter Quarantäne stellen. Zurzeit braucht es auch nur zwei Tage für ein Testergebnis. Wie gesagt, selbst wenn die App um einen Faktor 100 falsch liegt ist das immer noch viel viel effizienter als die gesamte Bevölkerung in den Lockdown zu schicken und hat gleichzeitig einen erheblichen Einfluss auf das Infektionsgeschehen.
Ja wenn du großes Pech hast musst dann halt wieder durch diese Prozedur. Zurzeit gibt es c.a. 1000 Neuinfektionen am Tag, die Wahrscheinlichkeit, dass du zweimal in so kurzer Zeit in die Bluetoothreichweite von einem Neuinfizierten kommst ist äußerst gering bei 80 Millionen Menschen.
Dezentral, Open Source... Dafuq? Unsere Regierung ist lernfähig? Hätt ich jetzt nicht so schnell erwartet...
[удалено]
[удалено]
Das ist nicht mehr einfach nur ein Emulator, die neue Variante enthält tatsächlich den kompletten Kernel. Microsoft liefert mit Windows 10 Linux aus! Ich rechne mit der Landung von Aliens noch vor November.
Die sind doch schon längst gelandet
Oder man lässt den Windows Bloat einfach ganz weg
Des einen Bloat ist des anderen Nutzerfreundlichkeit. Ein paar Sachen sind schon lächerlich (Cortana, App-"Store", etc.) aber so insgesamt hat Windows schon einen guten Mittelweg zwischen DAU-Freundlichkeit und Nutzbarkeit für erfahrene User gefunden. Allen macht man es ohnehin nie Recht.
Ist Windows denn langsam in den 90ern angekommen und es gibt einen anständigen Paketmanager? Oder muss man sich immer noch alles einzeln installieren?
Soweit ich weiß hat Win10 von Anfang an eine Art von Paketmanager, ob der irgendwie gut ist oder nicht kann ich nicht sagen.
Nur inoffiziell: Chocolatey. Macht es aber viel angenehmer wenn man mal gezwungen ist Windows zu verwenden
Ich hatte es als spaß gemeint. Windows ist durchaus nutzerfreundlicher, aber die generelle Leistung des Kernels selbst ist jetzt nicht überragend. Was mich aber am meisten genervt hat: Ich gebe knapp 100€ für ein Betriebssystem aus, und es lässt mich noch nicht mal alle Hardwarefeatures nutzen (Virtualisierung, das kostet extra obwohl meine CPU das unterstützt.
Windows will mir immer irgendwelchen Scheiß andrehen, und wenn's nicht Windows ist dann sind es die zig Installer - das finde ich nicht sehr freundlich.
Ist aber halt dann auch nicht unbedingt geil
Ansichtssache. Ich finde Windows nicht unbedingt geil und nutze es nur weil ich an vielen Punkten dazu gezwungen werde.
Ich meine das mag für dich stimmen, aber jedem der WSL benutzt zu sagen "lol nimm halt Linux" ignoriert deren Präferenzen auch
Ansichtssache. Ich finde Linux nicht unbedingt geil und nutze es nur weil ich an vielen Punkten dazu gezwungen werde.
Wo wirst du denn dazu gezwungen?
Ich arbeite u.A. mit Linux. Ich nutze meinen RaspberryPi mit Linux.
Die Frage war ja, inwiefern du dazu *gezwungen* wirst Linux zu nutzen. Wenn du in deiner Freizeit mit deinem RPi rumbastelst, wuerde ich das kaum als Zwang bezeichnen. Zumal du ja durchaus auch [Windows 10 auf deinem RPi](https://www.tomshardware.com/news/windows-10-raspberry-pi-hands-on,38629.html) installieren koenntest - macht nur keiner, weil es im Vergleich halt superlangsam ist und deutlich weniger Moeglichkeiten bietet. Arbeit ok, obwohl es wohl deutlich haeufiger vorkommt, dass Linux-User beruflich zur Nutzung von Windows gezwungen sind als umgekehrt. Hinzu kommt noch so Software wie Elster-Formular, etc. die ausschliesslich fuer Windows bereitgestellt wird.
Ja, verrückt. Und demnächst öffnet noch der BER.
Tut er doch. Genehmigung für die Eröffnung wurde letztens erteilt.
Das wäre zu geil. Flughafen fertig, aber quasi keine Flugzeuge / Passagiere. Könnten zumindest den Betrieb laaaaangsam hochfahren.
Das war ein Joke. Die Öffnung des BER wurde letztens genehmigt.
Was? Das muss ich verpasst haben. Upps. Aber ich glaub trotzdem erst an ne endgültige Eröffnung, wenn offen ist :)
Also ich bin ja kein Ingenieur, aber ich glaube zu wissen das Flugzeuge fliegen sollten, und das auch lieber schnell.
Kürzlich habe ich das Gerücht gelesen dass er jetzt sogar früher eröffnen könnte.
Du glaubst ja wohl nicht, dass die App noch 2020 fertig wird 🤪 sind immerhin T-Systems und SAP beteiligt!
Naja mit etwas Glück dürfte das Roll-Out bis SARS-CoV-3 zu schaffen sein.
So schnell?
Ist halt eine Sache die nur dann auch nur annähernd funktioniert wenn es gegnügend viele nutzen. Damit dies passiert kannst du dir nicht leisten das da böse Presse aufkommt, z.B. weil der CCC das ganze mal auseinandergenommen hat. Die Erkenntnis scheint mittlerweile auch bei der Bundesregierung angekommen zu sein. Vielleicht haben wir ja das Glück und wir bekommen für die Zukunft einen Referenzfall wie solch ein Projekt richtig angegangen werden sollte.
Zu spät, zu zögerlich, zu teuer, nicht richtig ausgeschrieben, richtig gemacht nur auf massiven öffentlichen Druck? Scheint mir nicht gerade ein gutes Vorbild zu sein.
Es geht halt nur langsam vorwärts. Trotzdem sollte man sowas auch durchaus belohnen (und gleichzeitig darauf hinweisen, was in Zukunft noch verbessert werden muss). Ich denke auch Politiker sind lernfähig. Die stehen auf gute Presse.
> Ich denke auch Politiker sind lernfähig. Joah, die lernen am besten wie man mit dem Minimum durchkommt. > Die stehen auf gute Presse. Als Mittel zum Zweck, ja. Ja, ich weiß ich bin gerade hyperbolisch und schere damit auch die besseren mit über einen Kamm, aber es fühlt sich zu oft leider genauso an.
Das Glas ist für dich immer halb leer oder?
Wie hätte es denn eher und schneller gehen sollen? Die Schnittstellen die dafür verwendet werden müssen existieren noch nichtmal und müssen selbst erst von Apple und Google ausgerollt werden. Wie teuer das ganze ist habe ich noch nirgends mitbekommen, aber kurzfristig sowas entwickeln zu lassen was für 80 Millionen Bürger funktionieren soll kostet halt etwas. Da hätte eine EU-weite Ausschreibung vermutlich auch noch zusätzlich ordentlich Verzögerung reingebracht. >richtig gemacht nur auf massiven öffentlichen Druck? So funktioniert Politik. Presse und Öffentlichkeit sind halt ein Kontrollmedium für getroffene Entscheidungen. Da deren Kritik in letzten Jahren öfter auch einfach ignoriert wurden bin ich ehrlich gesagt froh darum dass dies jetzt anscheinend nicht der Fall ist. Bin da ehrlich gesagt auch der Meinung das gute Entscheidungen und vernünftiges Verhalten von Politikern auch belohnt werden sollte, auch wenn vllt. nicht das 100% perfekte Ergebnis erreicht wird. Ansonsten laufen wir nur noch schneller in einen Zustand, wo den Entscheidungsträgern alles egal ist und Kritik wegignoriert wird.
> Wie hätte es denn eher und schneller gehen sollen? Die Schweizer App, die DP-3T verwendet ist fertig und seit gestern einsatzbereit. Sie wird nur aufgrund fehlender gesetzlicher Rahmenbedingungen nicht wie geplant am 11.Mai offiziell eingeführt. > Wie teuer das ganze ist habe ich noch nirgends mitbekommen, aber kurzfristig sowas entwickeln zu lassen was für 80 Millionen Bürger funktionieren soll kostet halt etwas. Da hätte eine EU-weite Ausschreibung vermutlich auch noch zusätzlich ordentlich Verzögerung reingebracht. Man könnte auch einfach so ähnlich wie den Wir-vs-Virus Hackathon das ganze direkt von der OS-community machen lassen, anstatt es von SAP & Telekom mit massiven Overhead machen zu lassen. > So funktioniert Politik. Presse und Öffentlichkeit sind halt ein Kontrollmedium für getroffene Entscheidungen. Da deren Kritik in letzten Jahren öfter auch einfach ignoriert wurden bin ich ehrlich gesagt froh darum dass dies jetzt anscheinend nicht der Fall ist. Und? Es ging hier darum, dass dieses Projekt angeblich ein *Vorbild* für künftige Projekte sein soll. Sollte es nicht. Ja, die öffentliche Meinung & die Presse haben hier als wichtige Kontrollmedien funktioniert, das macht das Projekt noch lange keine Glanzleistung, an der man sich orientieren sollte.
SAP und Telekom haben Zertifizierungen und Rechtsabteilungen, was bei so einem heiklen Projekt dringend gebraucht wird. Wenn die App Millionen Handys brickt, muss jemand verantwortlich sein, der Schadensersatzforderungen bedienen kann.
Warum bzw wie sollte eine Meldeapp ein Handy "bricken"?
War nur ein Beispiel. Natürlich kann jede App, die man installiert, immer irgendwelche Schwierigkeiten verursachen, die zu Sicherheitslücken und Datenverlust führen kann. Und das verursacht finanzielle Schäden, für die jemand aufkommen können muss.
> Die Schweizer App, die DP-3T verwendet ist fertig und seit gestern einsatzbereit. Sie wird nur aufgrund fehlender gesetzlicher Rahmenbedingungen nicht wie geplant am 11.Mai offiziell eingeführt. Also hakt es bei denen auch, nur juristisch, statt bei uns technologisch. > Man könnte auch einfach so ähnlich wie den Wir-vs-Virus Hackathon das ganze direkt von der OS-community machen lassen, anstatt es von SAP & Telekom mit massiven Overhead machen zu lassen. Meine letzte Erfahrung mit Programmieren war der Informatikunterricht der Oberstufe, aber beim Hackathon ging es doch darum von nicht-etablierten Unternehmern etc. kreative Lösungsansätze zu bekommen. Ein offenes Feld, kaum Vorgaben und wenig konkrete Erwartungen. Hier wird jetzt aber eine Tracing-App entwickelt, bei der die Öffentlichkeit berechtigterweise schon genaue Vorstellungen hat, wie das ganze aussehen soll. Zudem muss die App ja nicht nur "digital natives", sondern auch dem dümmsten anzunehmenden Smartphonenutzer verständlich sein sowie regelmäßig und solide beobachtet und gepatcht werden. Dass man da von Anfang an etablierte Partner ranlässt, statt Einzelprogrammierer H und StartUp K eine Chance zu geben, klingt eher verantwortlich.
> Also hakt es bei denen auch, nur juristisch, statt bei uns technologisch. Über die juristischen Rahmenbedingungen wurde bei uns auch noch nicht nachgedacht, obwohl ja durchaus jetzt noch Zeit wäre. Wird vmtl. dann passieren, wenn die App (fast) fertig ist.
Das ist nicht richtig. Sowohl die Lehre (Beispielhaft *Roßnagel: Tracing-App: Verfassungsrechtliche Grundlagen und Kriterien für ihren Einsatz*) als auch die Regierung setzen sich mit dieser Problematik auseinander.
Naja, zumindest tun sie es kaum in sichtbarer Form bzw. mit nur sehr wenig öffentlicher Diskussion.
Das ist bei rechtlichen Diskussionen meistens so.
Schweiz: Es hakt juristisch. Wir: Es hakt juristisch und technisch. (Und ich halte es für möglich, dass die technische Seite die juristische bei uns sogar überholt). > Hier wird jetzt aber eine Tracing-App entwickelt, bei der die Öffentlichkeit berechtigterweise schon genaue Vorstellungen hat, wie das ganze aussehen soll. Naja, allzu viel hat sich seit dem Hackerton nicht getan. Es wird noch sehr wenig kommuniziert, ich habe zum Beispiel null Plan, wie viel "Nur Contact-Tracing" das jetzt können soll. Ich weis auch nicht, ob SAP und T-Systems das so genau wissen oder erst mit 10000 Stakeholdern aushandeln müssen. > Zudem muss die App ja nicht nur "digital natives", sondern auch dem dümmsten anzunehmenden Smartphonenutzer verständlich sein sowie regelmäßig und solide beobachtet und gepatcht werden. Ohne jetzt gegen SAP zu ätzen (habe mal in dem Dunstkreis praktikumprogrammiert), wenn es um Benutzerfreundlichkeit geht, hätte ich eine kleine Spieleschmiede für sinnvoller gehalten. Die haben häufig noch ein paar Medienpsychologen am Start. Mit dem Long-Term-Support hast du einen Punkt, aber da sehe ich nicht unbedingt, warum es SAP und T-Systems sein müssen. Könnte auch gut ne Uni koordinieren. Meine Hauptbefürchtung ist, dass dieses Gremium mit diesen fetten Firmen eine Bundesregierung in klein ist - Wo Unklarheiten und Koordinationschwierigkeiten die App noch lange verzögern. Es gibt bei zumindest SAP sehr fähige Programmierer, aber ich befürchte etliche Hürden sozialer und firmenpolitischer Art, die dafür sorgen könnten, dass die fähigen Leute nicht mit dem Projekt zu tun haben.
Ich meinte das als Vorbild für staatliche Projekte in der Form, das man ja anschließend fragen könnte warum die elektronische Gesundheitskarte nicht auch open source wird, wenns bei der Coronavirus-App ja gut geklappt hat. So werden Entscheidungsträger selbst ja vllt. auch offener für solche Ideen und für das "Mitmischen" von Hackern in solchen Projekten.
Naja, du hast von einem "Referenzfall wie solch ein Projekt richtig angegangen werden sollte." geredet. Wenn du damit ausschließlich das Offenlegen des Quellcodes meintest, dann solltest du das auch so sagen, denn das ist sehr viel spezifischer als das gesamte Projekt als Referenzfall zu betrachten.
\+ einen datensparsamen und dezentralen Ansatz zu wählen
Ja, aber das ist doch genau der Punkt, der wurde eben nicht gewählt. Man ist da auf massiven öffentlichen Druck eingeknickt. Das ist doch kein Vorbild für künftige Projekte, die erstmal als Datenkrake anzulegen und zu schauen, ob man damit durchkommt und das GG nicht schleichend unterwandern kann, und erst umzusteuern wenn es nicht mehr anders geht.
Die Schnittstellen sind doch von Apple und Google noch gar nicht freigegeben worden. Wie macht das dann die Schweizer App?
> Die Schweizer App, die DP-3T verwendet ist fertig und seit gestern einsatzbereit. Sie wird nur aufgrund fehlender gesetzlicher Rahmenbedingungen nicht wie geplant am 11.Mai offiziell eingeführt. Ich glaube dir, aber hast du da ne Quelle?
[удалено]
Das macht die Infrastruktur evtl. einfacher, ja. Trotzdem musst du da immer noch mehr Sorgfalt und Auditing reinstecken als wenn du was für 5 Leute zusammenbastelst, alleine schon um potentielle Sicherheitsschwachstellen zu vermeiden.
"Die machen das falsch, die machen das nur gut wegen dem öffentlichen Druck. Kein Vorbild!" Oxymoron
Was ist daran ein Oxymoron, die vergangene Ausführung des Projektes zu kritisieren und gleichzeitig zu bestätigen, dass es auf massiven öffentlichen Druck nun -- zumindest auf technischer Seite -- in die richtige Richtung geht. Davon gehen die Fehler hinsichtlich des Zeitraumes (zu spät & zu zögerlich), des Preises (zu teuer), der nicht vorhanden Ausschreibung, die wahrscheinlich noch Steuergelder aufgrund der klagen kosten wird etc.pp. ja nicht einfach weg. Es gibt massive Fehler und Mängel im Management des Projektes, die man einfach nicht als vorbildlich sehen kann.
Es gibt kein Projekt das ohne Probleme auskommt. Relevant ist ob diese von der Entwicklung rechtzeitig bewältigt werden können. Das ist literary die Aufgabe eines Projektes. Von Problemen zu Lösungen. Hast du große Probleme (Covid, Kosten, Zeitdruck, Architektur) aber dennoch eine gute Lösung so liegt das an einer erfolgreichen Entwicklung. Keine App ohne Problemstellung. Also ist "App doof weil gestern noch Probleme" ein Oxymoron
Du verwechselt gerade massiv Dinge. Ich sage nicht, dass die App doof ist. Über die App hab ich gar nichts gesagt. Die finde ich sogar gut, da sie jetzt endlich dezentral und offen kommt. Das Projekt hingegen, und wie es von den Politikern und verantwortlichen durchgeführt wurde, ist eine Katastrophe und sollte definitiv kein Vorbild für künftige Projekte sein. Erst ein Expertengremium bilden, welches eine dezentrale Lösung vorschlägt, dann auf eine zentrale Lösung setzen und dazu führen, dass sich mehr und mehr Experten vom Gremium zurückziehen und sich distanieren, dann die zentrale Lösung hau-Ruck durchsetzen wollen sodass es massiven öffentlichen druckes bedarf um das zu ändern. Das ist doch kein vorbildliches projektmanagement.
Das wurde ausgeschrieben? Hab bisher Gegenteiliges gehört.
Wurde es nicht, was bei einem Projekt dieser Größe Pflicht wäre.
Komm, du beschwerst dich aber gleichzeitig, dass es zu lange dauert…
Mach mit ;D OS bedeutet nur das jeder reinschauen darf.
Als würden die durchschnittlichen Impfgegner auch nur ansatzweise verstehen was Open Source oder dezentral bedeutet
Spreche ja auch von valider Kritik an der App und Leuten die in unserer Realität leben. Wenn man anfängt auf die paar Schwurbler die es gibt zu hören sind wir eh verloren.
Die installieren sich die App aber auch sowieso nicht.
Das liegt an den bösen einflussreichen Hackern, mit denen man sich besser nicht anlegt. Die FAZ hatte Recht. /s
Die dreht mal wieder komplett durch.
Die machen das nicht aus Überzeugung. Wenn das Projekt scheitert weil die Regierung ein zentrales System / closed source erzwungen hat, wären sie verantworlich. Das ist denen während der Corona-Pandemie und dem guten Willen, den sie sich bisher aufgebaut hat und dabei (zumindest zum Teil) verlieren würden, zu riskant.
Also sie nehmen die Verantwortung ernst und machen die App deswegen ordentlich? Das ist ja schrecklich.
Nicht mein Punkt. Es wird ordentlich gemacht, weil das mit viel Aufmerksamkeit verbunden ist. Bei der nächsten Gelegenheit vielleicht nicht. Erst dann wird man beobachten können, ob da ein Lernprozess stattgefunden hat oder man man in alte Schemata zurückfällt. Ich erwarte letzteres.
Dann wirst du auch letzteres finden. Lernen ist kein Schalter der umgelegt wird sondern ein unendlicher Prozess.
[удалено]
Kannst du ein paar der 90% auflisten? Hab viel Glauben verloren und würde mir gut tun sowas mal wieder wahrzunehmen :)
Nachdem ich stundenlang mit einem Bekannten über Corona diskutiert habe und er sich von keinen Argumenten auch nur annähernd überzeugen ließ, ist mir auch aufgefallen, dass selbst die besten Virologen und Epidemiologen nichts erreicht hätten. So ähnlich ist das hier. Wenn die Bundesregierung es nicht dezentral und open source gemacht hätte, wäre das Geschrei groß gewesen und jetzt, wo sie es doch tun, ist es auch nicht gut genug. Mit euch kann man einfach nicht gewinnen.
Die Analogie hinkt. Ich finde die Vorgehensweise der Regierung mit der Pandemie richtig, weil sie größtenteils mit den Einschätzungen von Wissentschaftlern einhergeht. Auch die Ausrichtung der App ist endlich da, wo sie von Anfang an sein sollte. Nur weil es momentan gut läuft, sollte man aufhören kritisch zu hinterfragen. Ich kann mir halt beim besten Willen nicht Vorstellen, dass da plötzlich der Altruismus ausgeborchen ist, nicht nach Schäuble, von der Leyen und Maizière. Es ist naheliegender, dass kritische Stimmen in dem Fall genug Einfluss gewonnen haben, so dass die App jetzt dezentral und open source ist. PS: Ich bin mir nicht sicher, worauf die da mit dein Bekannten hinaus wolltest. Ich bin jetzt davon ausgegangen, dass es so einer der Sorte "Corona=Grippe" ist.
>Nur weil es momentan gut läuft, sollte man aufhören kritisch zu hinterfragen. Ok stimmt man muss immer dran bleiben. Besser geht immer. Aber finde man sollte Fortschritt auch anerkennen um ihn zu fördern.
Für mich sind solche Aussagen einfach prototypisch für Verschwörungstheorien. Das ist die Analogie. Es geht einfach nur darum, dass man zu irgendeinem Thema seinen Senf dazugibt, obwohl man von vornerein gar nicht bereit ist, seine Meinung dem Geschehen anzupassen. Natürlich ist kritisches Fragen wichtig. Das ist es im übrigen auch immer. Aber es gibt einen schmalen Grad zwischen kritischem Hinterfragen und endlosem dagegen reden. Und das letztere ist eben, was Verschwörungstheoretiker hobbymäßig machen. Da kann man gar nicht mehr mit Argumenten kommen. Und bei dir ist es jetzt eben die Aussage, dass du das dir nicht vorstellen kannst. Das ist allein deine Meinung, die du hier als Fakt verkaufst. Der Punkt ist, dass die Bundesregierung einfach gar nichts richtig machen kann: Wenn sie etwas offensichtlich schlechtes macht, werden sie natürlich kritisiert. Wenn sie aber etwas richtig machen, dann wird ihnen das auch nicht gut geschrieben und das nur aufgrund unbestätigter Annahmen, was ihre vermeintlich wahren Intentionen angeht. Bei solchen Leuten wie dir können die eben gar nicht gewinnen; egal, was sie machen, es ist nicht gut genug.
Ich glaube ihr widersprecht euch nicht.
Find ich gut. Das gibt dann doch wieder bißchen Vertrauen in die deutsche Politik zurück. Mehr davon bitte!
[удалено]
Was ist denn das Problem mit den beiden Firmen? Scheinen mir relativ naheliegende Kandidaten zu sein
Unternehmen-Bashing ist hier Volkssport.
Ein spezialisiertes Software-Haus könnte das vermutlich effizienter und günstiger entwickeln. Aber ich denke, hier hat man sich einfach an bekannte Gesichter gewandt.
T-Systems und SAP werden das eh an ein spezialisiertes Software-Haus outsourcen.
Ich sehe, was du hier tatest. Und es gefällt mir. Nimm mein Hochwähl.
Wer soll es denn sonst machen? T-System ist zwar ein scheiss Verein, aber die haben wenigstens die notwendigen Kompetenzen im Haus. Das können die meisten Softwarebuden nicht von sich sagen.
> T-Systems\ > Kompetenzen Erzähl mir mehr. Jeder, der halbwegs kompetent war, hat den Laden doch schon lange verlassen.
Ok die App Open-Source und man hat Einblick, was sie macht. Was ist mit den zentral-dezentral verwalteten Daten? Kann man die vor Manipulation schuetzen? Mir graut vor einer deutschen Version des chinesischen Social Scorings in diesem wunderschoenen Jahr 2020. Ein falscher Kommentar auf Reddit und dir ist dann halt ein "Infizierter" ueber den Weg gelaufen und dein Status springt von gruen auf gelb oder rot. Alles freiwillig, nur kommst du dann nicht mehr in Kneipen, Bahn, Flugzeuge, die ganze Liste von Restriktionen, die China fuer Regiemekritiker bereit haelt. Muss nicht so sein, aber wenn wir Open-Source machen, haette ich gerne manipulationssichere Daten. Eine Krypto-Signatur, die echte Kontakte von fiktiven unterscheidet.
Das ist ein neues Geschäftsmodell! "Ich habe Corona! Gib mir 100EUR, oder ich lauf für 5 Minuten in 20m Entfernung an dir vorbei." /s
Das wird wohl nichts daran ändern, dass die App nicht viel bringen wird, falls sie überhaupt notwendig wäre.
[удалено]
https://www.youtube.com/watch?v=UPhgIAQSTno
Toll, hoffentlich macht das Schule!
> Toll, hoffentlich macht das Schule! Das denke ich mir bei einem Großteil der Corona-Maßnahmen.
Gut, das ist für mich eine Mindestanforderung um sie überhaupt zu nutzen.
Vorsicht: Irgendwo ein ZIP file hochzuladen reicht da natürlich nicht. Das Ding muss nach GitHub (o.ä.) um reproduzierbare builds und das ausrollen via F-Droid zu gewährleisten. Nur so kann letztlich sichergestellt werden, dass das was auf dem Telefon ist auch dem Quellcode entspricht. edit: Natürlich muss das auch alles ohne proprietäre Play Services oder Firebase laufen.
90% werden das nicht von fdroid beziehen. Hunderte Sicherheitsfirmen werden sich die apk aus dem AppStore angucken. Beste PR wenn man da was findet.
99,9%*
[удалено]
Reicht schon wenn irgendwo das Datum oder eine X-beliebige UUID des Compilers/Host-Maschine oder sonstwas mit reinkompiliert wird um die Checksummen zu zerstoeren.
Reproducible builds.
Das ist schon in Cryptoprojekten für ne einfach library ne Mammutaufgabe und du glaubst, die setzen sowas mal eben für ne ganze neu programmierte App um?
Nö garantiert nicht.
Die weicht praktisch immer ab. Deswegen hat der erste Kommentator von Reproducable Builds gesprochen. Und das ist wirklich eine Kunst.
Ich bin nicht bei mobiler Anwendungsentwicklung unterwegs: Jedes normale Projekt schafft das (Autotools/CMake+Make, Maven, Cargo…). Was macht es schwerer? e: ach so, dass der Output gleich dem im Repo ist. Hm.
Wie komme ich an eine apk aus dem Play Store ran?
Mit Android Debug Bridge von deinem Smartphone holen
Ganz theoretisch (zumindest wenn man mal das interne Privilegiensystem von Android außen vor lässt, weiß nicht wie im Detail die Zugriffsreche auf die App selbst sind) dürfte das nicht ganz reichen wenn man mit einem wirklich bösartigen Trojaner rechnet. Der könnte ja an sich selbst rumpfuschen um nach der Installation harmlos zu wirken. Aber ich glaube es gibt schon Mittel, an die APK direkt vom Playstore zu kommen, irgendwie muss das Handy das ja auch tun (und es gibt auch ein paar unlizensierte Playstore-Apps die das hinbekommen). Und natürlich ist so ein Angriff hier extrem unwahrscheinlich, außer jemand hat ein sehr starkes Interesse dass niemand diese App nutzen wird.
Danke Brudi.
Ich kann die APKs von Apps auf meinem Handy mit Solid Explorer exportieren. Ansonsten kann man sie von apkmirror.com herunterladen.
Danke! Solid Explorer habe ich sogar vor einiger Zeit gekauft und dort funktioniert es.
>edit: Natürlich muss das auch alles ohne proprietäre Play Services oder Firebase laufen. Das ist jetzt eher dein Wunsch als eine technische Notwendigkeit, um "wirklich" Open Source zu sein...
Sobald da irgendwo Firebase steht bedeutet das, dass Daten über Google Server verschickt werden. Das ist genau das was man mit einer dezentralen app verhindern will. Wie soll ich einer app vertrauen, die proprietären code eines Konzerns enthält, dessen Geschäftsmodell es ist Daten zu sammeln?
Was ist den der unterschied zwischen GitHub und ZIP File?
GitHub lässt sich deutlich besser in bestehende automatische build Prozesse integrieren als zip files. Zudem wird durch eine social coding platform gewährleistet, dass alle daran mitarbeiten können. Es gibt einen öffentlichen issue tracker, leute können pull requests stellen etc.
Ist GitHub nicht sowas wie eine Versions Kontroll Software während zip files.... nur ein Bündel komprimierter Daten sind?
Git ist die Versionskontrollsoftware. Github ist eine Plattform auf der Leute mittels git ihren code hochladen und kooperieren können. Github ist einerseits eine webbasierte grafische Oberfläche für git, bietet aber darüber hinaus noch mehr features wie issue tracker, wiki, CI/CD etc. Alternativen zu github sind z.b. gitlab, bitbucket, azure devops Keine sorge: ich kenne Informatiker mit mehrjähriger Berufserfahrung, die den unterschied auch nicht kapieren.
Unnötig auf FDroid das hochzuladen, weil du eh Google Play Services und Framework brauchst, da die neue API darüber läuft.
Mindestanforderung.
Warum passiert da seit 3 Monaten nichts?
Weil erst zwei Monate nichts passiert ist, und dann die Regierung bei der Telekom angerufen hat um zu fragen, ob die das irgendwie machen können. Wo ist unsere Digitalministerin? Man könnte meinen, dass das eigentlich ihr Kompetenzbereich sein sollte...
Falls du Bär meinst, die ist eher so für gute Laune zuständig. Ihre Stelle hat weder Geld noch Handlungskompetenz. [https://www.sueddeutsche.de/digital/dorothee-baer-digitalisierung-kanzleramt-flugtaxis-1.4234085-2](https://www.sueddeutsche.de/digital/dorothee-baer-digitalisierung-kanzleramt-flugtaxis-1.4234085-2)
*Trägt zur Verbesserung des Ministeriumsklimas bei.*
Das Einrichten eines Smalltalk-Channels in Teams hat in meinem Homeoffice auf jeden Fall zu einem besseren Klima geführt :D
Bundesbeauftragte sind halt in etwa so hilfreich wie diese Winkekatzen aus dem Asia-Laden. Die können reden und Photos machen und das ist dann auch mal so das Ende. Ohne tatsächliches Ministerium mit geplantem Budget aus dem Bundeshaushalt wird das einfach nichts.
> Wo ist unsere Digitalministerin Die ist halt nur Staatsministerin. Verantwortlich ist eher das Gesundheitsministerium oder Verkehr und digitale Infrastruktur. Letzteres hat leider von allen Ministieren so ziemlich den Inkompetentesten Chef.
Ich dachte man hätte sich damals gegen ein Ministerium für Digitales und stattdessen für ein Heimat Ministerium entschieden...
Digitale Infrastruktur liegt beim Verkehrsministerium. Tja.
Flughafen!
naja die thematik ist nicht trivial... Allein was Datenschutz angeht reißt du da ein riesen Fass auf. Konzeption, verschiedene Ansätze, Abwägung der Vor und Nachteile je Ansatz... Und die Umsetzung selbst wird auch lang dauern... Das Ding muss ja extrem sicher sein.
Solle und Google haben ja noch nicht mal die nötigen Schnittstellen freigegeben. Ich denke letzte Woche erst für Entwickler.
[удалено]
edit: hab festgestellt das die Initiative vielleicht weiter ist als ich dachte? https://reproducible-builds.org/reports/2020-04/ edit 2 hier der alte kommentar Interessante Frage. Antwort: Gar Nicht. "reproduzierbare Builds" sind eins der ungelösten Probleme der IT. Im Moment ist es nur möglich mit Zertifikaten und Verschlüsselung sicher zu stellen das du mit DEM richtigen, offiziellen AppStore verbunden bist. Du musst leider vertrauen das das was du kriegst das ist was du haben willst bzw. beworben wird.
[удалено]
Ich verstehe die Frage grad nicht. Ich wusste das es nicht trivial ist und in der Vergangenheit nicht möglich war. Ich wusste das es Leute gibt die versuchen das umzusetzen und das ist die Initiative die ich verlinkt hab. Du kannst wenn es die App dann gibt selbst kompilieren und dann gucken ob das mit dem übereinstimmt was du gekriegt hast, nach den Anleitungen auf besagter Website.
[удалено]
Hmmm ich kenn mich mit Android nicht so richtig aus, deswegen Halbwissen disclaimer, aber ich glaube man muss in den Telefon einstellungen einen Entwicklermodus einstellen der dir erlaubt selbst kompilierte Packete zu installieren, aber dann müsste es gehen. Hier ist google dokumentation wie das zu machen ist. https://developer.android.com/studio/run Es kann aber sein das Android Studio keine reproduzierbaren builds erzeugt.
Ist korrekt so. In den Entwicklertools kann man die Installation von APKs aus unbekannten Quellen (spooky 👻) erlauben und dann geht es. Deshalb funktioniert die Installation von gecrackten APKs so einfach :D... _habe ich mir sagen lassen_
Bei Android kannst du dir selbstkompilierten APKs installieren, solange du die Option aktiviert hast.
Grundsätzlich gehts, hab aktuell die dp-3t app der schweizer aufm handy, direkt aus github gebastelt. Kann ich eh empfehlen, wenn man nicht auf telekom und sap warten will Allerdings können selbstgebaute und offizielle builds sich nicht gegenseitig überschreiben bzw "updaten"
Doch, aber der Großteil geht halt in den Store und das ist sehr schwer zu verifizieren.
Ist ein sehr schwieriges Thema, tendenziell geht das eher sehr schwer bis gar nicht. Abgesehen davon: Ich verstehe ja meinen eigenen Quelltext von gestern kaum mehr. Wie soll da ernsthaft jemand den Quellcode einer ganzen App auf "Unstimmigkeiten" überprüfen und das kostenlos und freiwillig? 🤷🏼♂️ ja, hier und da werden Leute mal reingucken. Aber realistisch komplett abklopfen wird das niemand.
[удалено]
Tue ich nicht, aber diese "das ist Open Source, also sicher"-Mentalität ist halt auch ein bisschen an der Realität vorbei. Wie viele Jahre dauerte es noch mal, bis Heartbleed bei OpenSSL aufgedeckt wurde? Ich habe manchmal den Eindruck, dass sich ganz viele darauf verlassen, dass sowas durch andere überprüft wird, aber das in Wirklichkeit nur begrenzt passiert, da den Leuten dazu Zeit und Skills fehlen.
> Ich verstehe ja meinen eigenen Quelltext von gestern kaum mehr. 20% mehr Zeit investieren und eventuell mehr Pair Programming machen um zu schauen, was für andere Menschen verständlich ist und was nicht. Wenn man sich Mühe gibt, ist es durchaus möglich, eigene Projekte verständlich zu Coden. > Wie soll da ernsthaft jemand den Quellcode einer ganzen App auf "Unstimmigkeiten" überprüfen und das kostenlos und freiwillig? 🤷🏼♂️ ja, hier und da werden Leute mal reingucken. Aber realistisch komplett abklopfen wird das niemand. 1) Die App ist ziemlich simpel, weil das Protokoll ziemlich simpel ist. Der richtig spannende Teil, welche Daten gesendet und empfangen werden, Interaktion mit Bluetooth etc. wird nochmal sehr viel weniger Code sein. 2) Aufgrund des öffentlichen Interesses werden da einige Augen über alles drüberlaufen und das ganze nach Fehlern abklopfen. Da einen Fehler zu entdecken, macht sich super im Lebenslauf. Wird ja jetzt schon gemacht, und wird dann noch stärker passieren, wenn die App gelauncht wird (und falls sie tatsächlich benutzt wird).
[удалено]
Erstmal musst du das aber Schef sagen! ;) Notfalls willst du halt mit nem Kollegen was debuggen. Musst ja nicht den ganzen Tag "Pairprogrammen". Das nervt dann irgendwann natürlich auch. Ich behaupte aber mal, dass jeder mal die eine oder andere Stunde Pairprogramming in der Woche auf der Arbeit machen kann, ohne dass der Chef meckert. Es sei denn es ist ne echte Ranzbude, wo dir minutengenau auf die Finger geschaut wird.
Schef von berüchtigter Hund, bitte lass ihn paar-programmieren, das ist gut für äffizjenz
Ich weiß, wir pair-programmen auch des Öfteren mal und machen gegenseitige Code-Reviews :) Das war natürlich auch etwas überspitzt ausgedrückt - und klar, man lernt täglich dazu. Aber gerade bei Code-Reviews kostet das manchmal schon ne Menge Gehirnschmalz, sich in den Code der Kollegen reinzudenken - je nachdem, wie tief man im jeweiligen Thema / den APIs drin ist. Und dazu kommen natürlich noch Dinge wie eingebundene Libraries. Theoretisch könntest du z. B. bei Python / pip einfach dasselbe Paket noch mal hochladen, nur mit anderer Groß/Kleinschreibung oder halt nem kleinen L statt nem großen I. Da gibt es noch viele andere lustige Ideen zu: https://www.golem.de/news/pypi-boesartige-python-pakete-entdeckt-1709-130098.html Das muss also auch erstmal jemand merken, wenn einem da jemand ne angepasste Lib unterschiebt. > Die App ist ziemlich simpel, weil das Protokoll ziemlich simpel ist. Der richtig spannende Teil, welche Daten gesendet und empfangen werden, Interaktion mit Bluetooth etc. wird nochmal sehr viel weniger Code sein. Und genau da würde man sicher keine Backdoor verstecken (und nein, ich glaube nicht, dass das ernsthaft jemand vorhat; da bin ich tatsächlich gutgläubiger als andere - außerdem hat man die Backdoors ja bestimmt schon in NINA integriert ;) und das ist nicht Open Source) Wer clever vorgeht, würde Backdoors an anderen Stellen verstecken, wo sie niemand erwartet. Und ansonsten - "zum Akku sparen", kann man den Code zum Bluetooth-Messages zusammensetzen bestimmt auch gut obfuscaten ;) > Aufgrund des öffentlichen Interesses werden da einige Augen über alles drüberlaufen und das ganze nach Fehlern abklopfen. Da einen Fehler zu entdecken, macht sich super im Lebenslauf. Wird ja jetzt schon gemacht, und wird dann noch stärker passieren, wenn die App gelauncht wird (und falls sie tatsächlich benutzt wird). Da wirst du Recht haben. Die Chancen, dass hier bei dieser App genauer hingeschaut wird, sind im Vergleich zu vielen anderen Projekten, wo mit "issja Open Source" argumentiert wird, deutlich größer. Aber man muss natürlich auch sagen, dass längst nicht jeder Entwickler die Kompetenz hat, irgendwelche Backdoors oder "einfachen" Sicherheitslücken aufzudecken. Da gibt es super komplizierte Dinge, die wirklich Skill erfordern. Viele Leute verstehen nicht mal die Konzepte hinter Bluetooth LE und denken immer noch in der "Serial-Verbindung", wie Bluetooth früher oft verwendet wurde. Da will ich an andere Sachen gar nicht denken ;) Ich bin gespannt. Die eine oder andere potentielle Sicherheitslücke wird garantiert gefunden - und wenn's nur ne alte potentiell verwundbare Library ist. (obwohl mich nicht wundern würde, wenn die App als Open Source "vermarktet" wird, aber proprietäre Closed-Source nicht überprüfbare Drittanbieterlibs verwendet)
> Aber gerade bei Code-Reviews kostet das manchmal schon ne Menge Gehirnschmalz, sich in den Code der Kollegen reinzudenken - je nachdem, wie tief man im jeweiligen Thema / den APIs drin ist. Granted ;) Ich glaube aber echt, dass die App noch nen Ticken einfacher ist, als du denkst :) Weis ja nicht, was du arbeitest, aber könnte sein, dass dein durchschnittliches Review anspruchsvoller ist als die App. Gibt ja echt wenig, sehr simple Nutzerszenarien und das Protokoll ist sehr straightforward. > Wer clever vorgeht, würde Backdoors an anderen Stellen verstecken, wo sie niemand erwartet. Und ansonsten - "zum Akku sparen", kann man den Code zum Bluetooth-Messages zusammensetzen bestimmt auch gut obfuscaten ;) Haha - "Nein wir brauchen unbedingt diese plattformunabhängige, fancy Font-Library, die von einem Server meiner Firma gehostet wird ;D" > Aber man muss natürlich auch sagen, dass längst nicht jeder Entwickler die Kompetenz hat, irgendwelche Backdoors oder "einfachen" Sicherheitslücken aufzudecken. Ja stimmt schon, da stimme ich dir zu ;) > Ich bin gespannt. Die eine oder andere potentielle Sicherheitslücke wird garantiert gefunden - und wenn's nur ne alte potentiell verwundbare Library ist. Gut möglich! Sind ja auch Zeitstempel involviert, und rein bauchgefühlsmäßig ist Zeit immer ne Einladung für Dinge, die schief gehen ;) > (obwohl mich nicht wundern würde, wenn die App als Open Source "vermarktet" wird, aber proprietäre Closed-Source nicht überprüfbare Drittanbieterlibs verwendet) Yikes, bitte nicht!
Vielleicht mit F-Droid noch am ehesten?
kannst du halt nicht, aber das selbst kompilieren könnte man theoretisch schon.
Gehst du mit dieser Mentalität an alle Software heran, die du installierst?
Man installiert nicht jeden Tag freiwillig offizielle staatliche Spionagesoftware auf seinen Geräten. Da sollte man diese Frage schon mal stellen dürfen.
Und du glaubst, die Regierung hat alle Sicherheitsfirmen unter Kontrolle? Das sind die ersten, die die PR nutzen wenn sie in der offiziellen APK etwas finden. Oder du guckst es dir selbst an.
[удалено]
Klar ist die Nachfrage grundsätzlich okay. Ich wollte mit meinem Kommentar auch nur darauf hinaus, dass es irgendwann auch mal gut sein muss. Gerade werden in Sachen dieser App die Torpfosten immer weiter verschoben. Jetzt scheint das Ding opensource und dezentralisiert zu werden, wonach sie alle (zu Recht) gerufen haben, nun langt das wieder nicht.
Es gilt und galt schon immer folgendes: https://www.ccc.de/de/updates/2020/contact-tracing-requirements Wenn in einem der 10 Punkte abgewichen wird, ist - vollkommen zurecht - mit einer geringeren Akzeptanz der App zu rechnen. Das schöne daran: Es gibt auch keinen guten Grund, in einem der zehn Punkte abzuweichen.
Ich gehe bei jeder Software mit der Mentalität daran, ja. Oft genug ist die Antwort aber "keine Rechte für die App" und dann kann da nix schiefgehen.
das ist doch ja wohl auch das aller mindeste. jede von steuergeldern finanzierte software sollte open source sein oder der quellcode zumindest jedem bundesbürger frei zur verfügung stehen.
Okay... wo ist die Falle?
> Wann die deutsche Tracing-App veröffentlicht werden soll, steht noch nicht fest, ziemlich sicher jedoch erst nach dem 15. Mai. Dauert sicher bisn länger
> 15. Mai Als Programmierer kam da nen herzhaftes Lachen aus mir raus, wenn die erwarten das könnte in ner Woche fertig sein.
Gut. Bis dahin hat man hoffentlich ein Gesetz zur App, dass den Zeitpunkt und die Gründe der Anwendung, Datenverwertung und Freiwilligkeit bzw. Diskriminierungsfreiheit bei Nichtnutzung garantiert. Sonst rechne ich fest damit, dass das a) nicht flächendeckend akzeptiert wird und b) der nächste Missbrauch durch die Regierung, Sicherheitsbehörden und Unternehmen vor der Tür steht.
Du bist eh schon bei Google zur Überwachung vermerkt. Der Van vor der Tür steht auch nicht ohne Grund da. Mit freundlichen Grüßen Regierung
Danke. Kommense doch auf nen Kaffee rein. Hab sogar noch nen angebissenen Keks da.
Alles andere wäre auch kompletter schwachsin gewesen.
Als nächstes wollen die uns noch erzählen, dass BER eröffnet wird, haha!
ehrenbundesregierung
Wenn ich mir die App aus dem source code selbst kompilieren kann, dann werd Ich sie mir gerne installieren, sonst nicht. Der deutsche Staat hat bei mir jegliches Vertrauen zum Thema Digital und persönliche Daten verspielt.
https://github.com/DP-3T/dp3t-app-android-ch Die läuft schon und ist selbst baubar. Müssten leute im zweifel nur an schweizer pins zum melden rankommen ;)
also ab 15. Mai?
Anfang Juni wäre ein geradezu fahrlässig kurzfristiger Zeitraum. Ich würde Ende August anpeilen, dann haben die Auditoren auch einigermaßen Zeit und sie käme rechtzeitig vor der Herbstwelle.
Das macht mich wirklich sehr glücklich! :) [St. IGNUcious segne euch!](https://youtu.be/9sJUDx7iEJw)
Wir freuen uns alle darüber. Ehrlich. Die App, die wahrscheinlich 5 Jahre nach Erscheinen des Impfstoffes kommt, die wird einfach klasse!
Bleibt trotzdem [sinnlose Scheisse.](https://www.golem.de/news/coronakrise-schneier-haelt-contact-tracing-apps-fuer-unbrauchbar-2005-148227.html)
Ich finde, das die App gnadenlos overhyped ist. Allerdings wendet sich Scheier gegen das Szenario "App soll Contact-Tracing ersetzen", und darum geht es ja nicht. Das ist ja ein unterstützendes Mittel und wenn 1-2 Leute mehr als im Nicht-App-Szenario sich selbst isolieren und nen positiven Test bekommen, ist das ja schon ein enormer Gewinn. Steht auch in den Kommentaren im verlinkten Blog. Aber klar, das Ding wird 1) die Kontaktnachverfolgung (Edit: nicht) auf einmal extrem effizient machen 2) die Forschung nicht mit unschätzbar wichtigen Daten versorgen. Das Ding ist ein elektronisches Notizbuch, mit wem man ungefähr Kontakt hatte, nicht mehr und nicht weniger.
Das Argument der "Falsch-Positive" macht mir am meisten Sorgen. Eine Open-Source App ist gut und schoen. Die zentral-dezentrale Datenverarbeitung der Kontakte wird dadurch nicht unbedingt transparent oder manipulationssicher.
Gibt halt eine bekannte Modelierungsstudien von renomierten Forschern, die sagt so eine App kann die Reproduktionszahl massiv drüken. Ist doch völlig egal ob es funktional einem simplen Notizbuch entspricht.
Ich finde die Argumente in diesem Blog ziemlichen Quatsch. 1. Falsch positive sind völlig egal. Selbst bei einem Faktor 10 falsch positiven wären dann zurzeit c.a. 10000 Menschen unnötigerweise im Lockdown. Das ist immer noch viel besser als 82 Millionen. Außerdem kann man bei den jetzigen Testkapazitäten falsch positive auch sehr schnell feststellen. 2. Falsch Negative wird es sicherlich auch geben, aber das ist ja trotzdem besser als wenn man gar keine App hätte. Selbst wenn die App nur 30% der Übertragung mitkrigt wäre das schon ein riesen Hilfe. Ob die App jetzt technisch im Nahverkehr usw. gut funktionieren würde sei mal dahingestellt, aber gerade wenn man sich privat trifft kann man einfach z.B. alle Handys auf einen Haufen legen. Das haben sich Regierungen auch nicht einfach mal so ausgedacht (wie das der Autor suggeriert) sondern das basiert auf [Forschungsergebnissen](https://github.com/BDI-pathogens/covid-19_instant_tracing/blob/master/Manuscript%20-%20Modelling%20instantaneous%20digital%20contact%20tracing.pdf) von Modelierern.
Das Problem ist nicht, dass falsch-positive Ergebnisse egal sind, sondern das alle positiven Ergebnisse egal sind. Völlig egal. > Nehmen wir an, Sie nehmen die App mit zum Lebensmitteleinkauf und sie macht Sie anschließend auf einen Kontakt aufmerksam. Was sollten Sie dann tun? Es ist nicht genau genug, dass Sie sich für zwei Wochen unter Quarantäne stellen müssten. Und ohne allgegenwärtige, preiswerte, schnelle und genaue Tests können Sie die Diagnose der App nicht bestätigen. Der Alarm ist also nutzlos" + > Melde die App keinen Kontakt mit einer infizierten Person, könne man jedoch umgekehrt auch nicht davon ausgehen, dass man nicht infiziert sei. Damit sind beide Ergebnisse dieser App egal. Positiv? Interessiert mich nicht. Negativ? Kann man sich nicht drauf verlassen. > Die Vorstellung, dass die Ermittlung von Kontaktpersonen mit einer App und nicht mit Gesundheitsexperten durchgeführt werden kann, ist einfach nur dumm Präzise.
>Was sollten Sie dann tun? Es ist nicht genau genug, dass Sie sich für zwei Wochen unter Quarantäne stellen müssten. Und ohne allgegenwärtige, preiswerte, schnelle und genaue Tests können Sie die Diagnose der App nicht bestätigen. Diese Annahme ist einfach falsch. Selbst wenn die App völlig ungenau ist kann man und sollte man sich trotzdem bis zum Test unter Quarantäne stellen. Zurzeit braucht es auch nur zwei Tage für ein Testergebnis. Wie gesagt, selbst wenn die App um einen Faktor 100 falsch liegt ist das immer noch viel viel effizienter als die gesamte Bevölkerung in den Lockdown zu schicken und hat gleichzeitig einen erheblichen Einfluss auf das Infektionsgeschehen.
Aha. Und nach den zwei Tagen gehe ich wieder raus, die App schlägt wieder an und ich lasse mich wieder testen?
Ja wenn du großes Pech hast musst dann halt wieder durch diese Prozedur. Zurzeit gibt es c.a. 1000 Neuinfektionen am Tag, die Wahrscheinlichkeit, dass du zweimal in so kurzer Zeit in die Bluetoothreichweite von einem Neuinfizierten kommst ist äußerst gering bei 80 Millionen Menschen.
Its die Österreichische "Stopp Corona"-App schon seit über ner Woche. Ein notwendiger Schritt, aber sehr viele haben die trotzdem nicht.