Release into F-Droid

[DominicWrege]

https://f-droid.org/docs/Submitting_to_F-Droid_Quick_Start_Guide/

[friesenkiwi]

Moin @DominicWrege @macschlingel @gitlik

Wie ist denn so die Gemütslage, hierhingehend? Welche Vorbehalte oder Fragen bestehen? Also, woher kommt das "Maybe"?

Ich glaube, die Voraussetzungen wären:

• [x] Lizenz festlegen
  • Code
  • z.B. https://choosealicense.com/licenses/gpl-3.0/ (Starkes Copyleft, d.h. alle Änderungen in Kompilaten müssen auch wieder frei verfügbar gemacht werden)
  • oder https://choosealicense.com/licenses/apache-2.0/ (Änderung ohne freie Veröffentlichung möglich, etwas "Firmen-Freundlicher", Attribuierung bleibt erforederliche Voraussetzung)
  • Content (Grafiken etc.)
  • z.B. https://choosealicense.com/licenses/cc-by-4.0/ ? (Kommerzielle Nutzung elraubt, nur mit Attribuierung)
• [x] Alle bisherigen Autoren/Contributoren müssen zustimmen
• [x] Repo müsste öffentlich geschaltet werden

Dann kommt natürlich noch ein bisschen Metadaten-Krams (Logos, Texte etc.) und etwas administrative Kommunikation (das kann ich gern übernehmen) dazu.

[friesenkiwi]

Ah, und der Chargeprice-API-Key ist ja anscheinend essentiell … da müssten wir schauen, ob wir den mit in das Repo packen oder den Usern eine Möglichkeit geben, einen eigenen Key zu hinterlegen.

[friesenkiwi]

Sorry, jetzt erst gesehehen, dass es eine eigene API ist. Das macht es natürlich etwas einfacher, weil keine dritten direkt betroffen sind. Dann würde ich vorschlagen, einen Key für F-Droid exklusiv zu nutzen und in das Repo zu packen. Wenn der missbraucht wird, kann er einfach gesperrt werden und beeinträchtigt nicht den Playstore-Release

[DominicWrege]

Dazu müsste jeder User in der Lage sein, sich einen API Key zu generieren. Dies würde die Sache erheblich komplexer machen. Ich weiß nicht ob wir das wollen.

[friesenkiwi]

Ja, wie gesagt, da es eine eigene API ist, würde ich diese "eigener Key für jeden User"-Sache gar nicht mehr weiterverfolgen

[Thorsten1]

Das maybe kommt denke ich primär daher das sich niemand so Recht damit auseinander gesetzt hat und keine Ressourcen dafür da waren. Prinzipiell bin ich halt nicht so der Fan davon api Keys zu veröffentlichen aber da man Android packages natürlich eh entpacken kann ist das vermutlich auch nicht so das Problem.

Hauptproblem ist denke ich, das wir den Code ja nochmal aufräumen und refactorn wollten bevor man den fremden Leute zumutet aber ist auch egal denke ich,😂

[friesenkiwi]

OK, sorry, ich bin hier einfach so reingepoltert und hab vergessen, mich vorzustellen :-(

Moin, ich bin Hanno und hatte auf Mastodon gefragt ob der Ladefuchs auch in den F-Droid eingestellt werden könnte und auch angeboten, dabei zu helfen.

@DominicWrege @macschlingel @Thorsten1 , ihr scheint hier in dem Repo die einzigen Autoren/Comitter zu sein (sagt GitHub), würdet ihr einer Veröffentlichung des Codes unter Apache License 2.0 jetzt und zukünftig zustimmen?

@gitlik würdest Du einer Veröffentlichung der Inhalte (Texte, Grafiken) unter CC-BY 4.0 zustimmen und wer wäre da außerdem noch zu fragen?

Prinzipiell bin ich halt nicht so der Fan davon api Keys zu veröffentlichen aber da man Android packages natürlich eh entpacken kann ist das vermutlich auch nicht so das Problem.

Ja, so ist es, der Key steckt eh Plaintext im APK und kann da relativ trivial extrahiert werden, macht also effektiv keinen Unterschied, den direkt im Repo zu haben. Wie gesagt würde ich dennoch vorschlagen, einen separaten Key für F-Droid zu verwenden, dann kann man zumindest die zwei Ausspielwege voneinander isolieren, falls ein Key missbraucht werden sollte und in ein rate limit liefe.

Code ja aufräumen und refactorn

Ist natürlich immer ein heres Ziel, kann ja in jedem Falle unabhängig von einer Quellcode-Veröffentlichung gemacht werden. Und evtl. fände sich ja gerade durch die Veröffentlichung auch Unterstützung dafür.

[friesenkiwi]

Ich habe zwischenzeitlich einen Build per Gradle und Android Studio auf meiner Maschine hinbekommen, aber die resultierende App läuft leider natürlich ohne validen Key nicht, könntet ihr mir einen zum Testen zur Verfügung stellen?

[gitlik]

Ich habe ehrlich gesagt, keine wirkliche Ahnung von den Lizenzen, aber das meiste an Grafiken gehört uns nicht. Dann können wir die auch nicht weiter lizensieren.

@flowinho weiss da mehr, denke ich.

[macschlingel]

Separaten API Key für Fdroid: ✅ Apache: da ist @flowinho der Experte, der im Zweifel gegen jede Lizenz einen Einwand hat :) Grafiken: die Grafiken welche uns nicht gehöhren shoppen wir nicht. Mal abgesehen von den im about screen.

[DominicWrege]

API Task ✅

[friesenkiwi]

OK,

• [x] Apache-Lizenz im Code-Repo
• [x] Separater API-Token
  • [ ] im Repo
• [x] F-Droid-Meta-YML : https://gitlab.com/friesenkiwi/fdroiddata/-/commit/1f141c5f4978678547f06d3fe59340f2e79c8613
• [x] Fastlane (oder Triple-T)-Metadaten im Ladefuchs-Android-Repo (https://f-droid.org/docs/All_About_Descriptions_Graphics_and_Screenshots/)
• [x] Readme aktualisieren
• [x] Repo public schalten
• [x] F-Droid-MR öffnen

[friesenkiwi]

F-Droid-MR: https://gitlab.com/fdroid/fdroiddata/-/merge_requests/13620

[friesenkiwi]

Noch isses nicht im store :)

[DominicWrege]

Dachte eher an marked as duplicate

[friesenkiwi]

OK, everything ready from the technical side, now waiting for F-Droid packagers :-)

[jugendhacker]

Hi, F-Droid Team Mitglied hier.

Seid ihr daran interessiert reproduzierbare Builds zu nutzen, damit die APK, die via F-Droid verteilt wird, auch mit eurem Key signiert ist oder ist es für euch okay das F-Droid die App APK mit dem eigenen Key signiert?

Vorteil von reproduzierbaren Builds wäre, dass Nutzer ohne großen Aufwand zwischen den F-Droid Builds und euren Builds wechseln könnten. Nachteil wäre, dass reproduzierbare Builds im Zweifel mehr Aufwand von eurer Seite erfordern.

[macschlingel]

Hi, F-Droid Team Mitglied hier.

Seid ihr daran interessiert reproduzierbare Builds zu nutzen, damit die APK, die via F-Droid verteilt wird, auch mit eurem Key signiert ist oder ist es für euch okay das F-Droid die App APK mit dem eigenen Key signiert?

Vorteil von reproduzierbaren Builds wäre, dass Nutzer ohne großen Aufwand zwischen den F-Droid Builds und euren Builds wechseln könnten. Nachteil wäre, dass reproduzierbare Builds im Zweifel mehr Aufwand von eurer Seite erfordern.

Aktuell gibt es keine Daten, die nahelegen, dass Nutzer:innen das beim Ladefuchs wollen.

[jugendhacker]

Okay, eventuell noch sinnvoll zu erwähnen wäre, dass wenn ein Weg ausgewählt wurde und die ersten User via F-Droid installiert haben ein wechsel nur noch schlecht möglich sein wird.

[macschlingel]

Wir verstehen den Punkt, sehen weiterhin keinen Need für einen Installationsquellenwechsel bei unseren Nutzer:innen. Ea gibt keine in der App persistierten Daten, welch Mensch durch ein de-install/re-install verlieren würde.

[jugendhacker]

Okay, eine Frage hätte ich dann noch: weder in eurer App noch auf der Website finde ich Informationen zum Thema Datenschutz, Umgang mit Log Files, eventueller Verarbeitung der anfallenden Daten etc bei eurer API (die die App ja im Hintergrund nutzt). Übersehe ich das eventuell nur oder fehlt das wirklich?

[DominicWrege]

Ist nicht in der App direkt verlinkt, soweit ich Weiß.

Auf API Seite werden die nur die HTTP Header für 30 Tage in einer Log-Datei geschrieben. Keine IP Adresse oder API Token wird jemals in einer Logdatei gespeichert.

[jugendhacker]

Wäre denke ich gut, das mal noch irgendwo zu verlinken (nicht zuletzt weil die DSGVO das meinem Laien Verständnis nach sogar fordert) aber zumindest bekommt ihr mit dieser Policy kein zusätzliches Tracking Anti Feature von F-Droid

[friesenkiwi]

@jugendhacker würde https://github.com/Team-Ladefuchs/ladefuchs-android/pull/75#issue-1891245580 den Anspruch erstmal befriedigen?

Sind sonst noch Dinge zu ändern, um in F-Droid aufgenommen werden zu können?

[DominicWrege]

merged !