<div dir="ltr">1) we are currently working on publishing LibVLC and Medialibrary as gradle libraries. It will significantly ease VLC build.<br><br>Also, published apks are available here: <a href="https://get.videolan.org/vlc-android/">https://get.videolan.org/vlc-android/</a><div><br></div><div>apks are signed by us, and not by Google. (So, the signature is the exact same one between <a href="http://videolan.org">videolan.org</a> and Play Store)</div><br><div class="gmail_quote"><div dir="ltr">Le sam. 29 sept. 2018 à 08:22, Tyler <<a href="mailto:tylera@privatedemail.net">tylera@privatedemail.net</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
After doing some searching on this it appears that VLC was available in<br>
F-Droid at some point <a href="https://forum.f-droid.org/t/where-is-the-vlc-app/108" rel="noreferrer" target="_blank">https://forum.f-droid.org/t/where-is-the-vlc-app/108</a><br>
<br>
My understanding is that it was removed because distributing old builds<br>
isn't good practice and it was too difficult for F-Droid's maintainers<br>
<a href="https://f-droid.org/wiki/page/org.videolan.vlc#Maintainer_Notes" rel="noreferrer" target="_blank">https://f-droid.org/wiki/page/org.videolan.vlc#Maintainer_Notes</a><br>
<br>
>From this twitter post<br>
<a href="https://twitter.com/videolan/status/748448942141091840" rel="noreferrer" target="_blank">https://twitter.com/videolan/status/748448942141091840</a> it appears it<br>
does still build on Android though and there are current builds<br>
available on the mirror <a href="https://get.videolan.org/vlc-android/" rel="noreferrer" target="_blank">https://get.videolan.org/vlc-android/</a><br>
<br>
For something to be in F-Droid's main repository ie<br>
<a href="https://f-droid.org/repo" rel="noreferrer" target="_blank">https://f-droid.org/repo</a> they have to be able to build it without too<br>
much fiddling about especially as they have an automatic Reproducible<br>
Builds<br>
<a href="https://f-droid.org/en/docs/Reproducible_Builds" rel="noreferrer" target="_blank">https://f-droid.org/en/docs/Reproducible_Builds</a> system running.<br>
<br>
Currently downloading from that mirror has a single point of failure ie<br>
the https certificate, which is a bit of a concern. If there was to be<br>
some zero day or MITM there would actually be no way to verify the APK<br>
downloaded is indeed officially from VideoLAN.<br>
<br>
Now there has been the suggestion of "just install from Google Play".<br>
However some of us feel that isn't really secure enough. Many use<br>
devices with a ROM like LineageOS and purposefully do not install Google<br>
Apps.<br>
<br>
You are essentially trusting all your security to Google's signing keys,<br>
which additionally could allow targeted attacks at the behest of foreign<br>
governments.<br>
<a href="https://www.smh.com.au/business/companies/spyware-on-phone-fears-as-dutton-pushes-new-security-laws-20180924-p505oc.html" rel="noreferrer" target="_blank">https://www.smh.com.au/business/companies/spyware-on-phone-fears-as-dutton-pushes-new-security-laws-20180924-p505oc.html</a><br>
what sort of person would knowingly use a device that comes with a built<br>
in side channel attack that can be targeted at a selector - your Google<br>
account and then kept secret from you.<br>
<br>
So my questions are:<br>
<br>
1) What would it take in order to modify the build system so that<br>
F-Droid maintainers don't have to do significant work each release?<br>
<br>
2) If that's not an option perhaps VideoLAN could have their own F-Droid<br>
repository and then show it on<br>
<a href="https://f-droid.org/wiki/page/Known_Repositories" rel="noreferrer" target="_blank">https://f-droid.org/wiki/page/Known_Repositories</a><br>
<br>
3) At very least have detached PGP signatures .asc as you do for your<br>
desktop releases.<br>
<br>
-- <br>
Tyler<br>
<br>
_______________________________________________<br>
Android mailing list<br>
<a href="mailto:Android@videolan.org" target="_blank">Android@videolan.org</a><br>
<a href="https://mailman.videolan.org/listinfo/android" rel="noreferrer" target="_blank">https://mailman.videolan.org/listinfo/android</a><br>
</blockquote></div></div>