ага, и все новые приложения из гугл плея идут лесом)

Ты подписи считаешь не ручками же. Когда процесс проверки подписи(можно вообще не проверять) и отрисовки галочки соответствия контролирует гугл, какая разница, он ли контролирует ключи подписей?

Допускаю, что в редких случаях у пользователя может быть некоторая уверенность, что подписи действительно проверяются, но эти случаи действительно редки.

И это все уже не говоря о том, что подавляющее большинство приложений, кроме достаточно узкого круга ориентированных на безопасность, подписываются вообще ни Гуглом, ни разработчиком, а третьим сервисом по сборке приложений(привет, реалии).

есть обособленные механизмы валидации на сервере и клиенте, если в какомто из механизмов начались изменения которые противоречат заявленным условиям - значит в определённом месте гугл вертит на одном месте свои же условия. прецеденты возникали когда игнорировались подписи разрабов на клиенте? вроде нет, иначе бы наверное какойто скандал был, а так они сейчас определили условия в котором разработчики лишаются своих прав на выбор

раньше то выбор был, хоть третий сервис используй хоть какой

а сейчас будь добр отдать дяде на подпись

А прецеденты подмены с подписями от Гугла были?

нет, но лишение права на выбор это грустно

В итоге: ничего эффективно не изменилось (кроме как, потенциально, для вышеописанной узкой группы людей), среднестатистическая безопасность выросла(потому что разработчики обычно очень плохо обращаются с ключами), стало грустно.

ну да, народ тупой, с ключами обращаться не умеет, давайте все сдавайте свои ключи дяде))

это тоже самое что сказать что в биткоине свои ключи много кто потерял, поэтому давайте все перейдём на пэйпал

или на какой-нибудь бинанс

Нет, это совсем другое. Разработчики теряют свои ключи на регулярной основе. И опасности это подвергает катастрофическое число пользователей, у которых нет н какого выбора в плане управления ключами разработчиком.

так же как и юзеры приватники от блокчейн кошельков

ЧСХ, выбор не использовать это дело все там же, на месте.

ну так можно дать выбор пользователям

И кто из них разбираться в цифровых подписях?

И что мешает тем, кто разбирается, не использовать плэй стор?

да просто пуш прислать от гугл плея: у вас установлено приложение у которого нужно обновить ключи безопасности, согласны?

Ну вот я и спрашиваю, кто из пользователей достаточно квалифицирован, чтобы понять, насколько это для них полезно(почти никто), нафига их доставать этим дерьмом и т.д.