Korrekt. Bleibt festzuhalten, dass ein paar Monate zwischen dem Etch-Release und der Einstellung der Sicherheitsunterstützung für Mozilla-Produkte bei Sarge lagen.
Wer Debian Stable auf dem Desktop einsetzt, wo Email-Client und Browser im Besonderen zuhause sind, wird in der Regel zügig auf das neue Stable-Release upgraden. Das entspricht auch meiner Erfahrung. Die Regelung war in diesem Fall nicht nachteilig.
Beim Servereinsatz kommen Email-Client und Browser in der Regel nicht oder kaum vor. Falls überhaupt ein Browser installiert ist, wird er üblicherweise nicht zum üblichen Surfen im Internet auf ggf. unsicheren Seiten verwendet. Zudem gibt es zum Download von ggf. nötigen Dateien zahlreiche Alternativen, falls ein direkter Download aus dem Internet überhaupt erlaubt ist. Auch das entspricht meiner Erfahrung. Die Regelung war in diesem Fall ebenfalls nicht nachteilig.
Für Ausnahmefälle besteht davon unabhängig die Möglichkeit, die jeweils aktuellste Version vom Mozilla-Projekt zu beziehen und zu installieren.
Das Problem war deshalb hauptsächlich theoretischer Natur in Diskussionen aber hatte in der Praxis kaum Bedeutung.
Nur einen kleinen Nachteil hat das Ganze. Angenommen, ein Sarge-Nutzer verließ sich auf die Aussage, dass Sarge noch ein Jahr lang nach dem Erscheinen von Etch mit Aktualisierungen versorgt wird und las bzw. liest vielleicht nicht die Debian-Sicherheitsinformationen, dann könnte er am 31.03.2008 tatsächlich noch mit Firefox 1.0.4 oder Mozilla 1.7.8 als Browser unterwegs gewesen sein. Ein anderer Nutzer hat das vielleicht früher, z.B. im September 2007 bemerkt und bis dahin weiterhin fleißig Online-Banking mit dem alten Firefox oder Mozilla betrieben.
So eine wichtige Supporteinstellung sollte besser kommuniziert werden, z.B. direkt auf der Hauptseite. Dieses Problem ist meiner persönlichen Meinung nach eben nicht nur theoretischer Natur.
Da müsste man dann zuerst einmal die Frage klären, wie viele Debian-Nutzer regelmäßig auf der Hauptseite vorbeischauen. Man hätte auch direkt auf dem Desktop jedes einzelnen Nutzers einen Warnhinweis öffnen können, den dann die Mehrheit ungelesen weggeklickt oder nicht verstanden hätte.
Was ich damit sagen möchte: Sicherheit ist keine Selbstverständlichkeit und kein fertiges Programm, dass es zu installieren gilt und dann ist alles gut. Sicherheit ist vielmehr ein Konzept welches vom Nutzer verstanden werden will. Sicherheitsrelevante Meldungen auf einer explizit dafür vorgesehenen Sicherheitsmailingliste zu veröffentlichen ist eigentlich genau das, was man erwartet. Denn dort gehören diese Meldungen hin. Erreichen werden sie aber immer nur den sicherheitsbewussten Nutzer, egal welchen Aufwand man mit der Veröffentlichung treibt.
Wer Debian Stable auf dem Desktop einsetzt, wo Email-Client und Browser im Besonderen zuhause sind, wird in der Regel zügig auf das neue Stable-Release upgraden. Das entspricht auch meiner Erfahrung. Die Regelung war in diesem Fall nicht nachteilig.
Beim Servereinsatz kommen Email-Client und Browser in der Regel nicht oder kaum vor. Falls überhaupt ein Browser installiert ist, wird er üblicherweise nicht zum üblichen Surfen im Internet auf ggf. unsicheren Seiten verwendet. Zudem gibt es zum Download von ggf. nötigen Dateien zahlreiche Alternativen, falls ein direkter Download aus dem Internet überhaupt erlaubt ist. Auch das entspricht meiner Erfahrung. Die Regelung war in diesem Fall ebenfalls nicht nachteilig.
Für Ausnahmefälle besteht davon unabhängig die Möglichkeit, die jeweils aktuellste Version vom Mozilla-Projekt zu beziehen und zu installieren.
Das Problem war deshalb hauptsächlich theoretischer Natur in Diskussionen aber hatte in der Praxis kaum Bedeutung.
Nur einen kleinen Nachteil hat das Ganze.
Angenommen, ein Sarge-Nutzer verließ sich auf die Aussage, dass Sarge noch ein Jahr lang nach dem Erscheinen von Etch mit Aktualisierungen versorgt wird und las bzw. liest vielleicht nicht die Debian-Sicherheitsinformationen, dann könnte er am 31.03.2008 tatsächlich noch mit Firefox 1.0.4 oder Mozilla 1.7.8 als Browser unterwegs gewesen sein.
Ein anderer Nutzer hat das vielleicht früher, z.B. im September 2007 bemerkt und bis dahin weiterhin fleißig Online-Banking mit dem alten Firefox oder Mozilla betrieben.
So eine wichtige Supporteinstellung sollte besser kommuniziert werden, z.B. direkt auf der Hauptseite.
Dieses Problem ist meiner persönlichen Meinung nach eben nicht nur theoretischer Natur.
Was ich damit sagen möchte: Sicherheit ist keine Selbstverständlichkeit und kein fertiges Programm, dass es zu installieren gilt und dann ist alles gut. Sicherheit ist vielmehr ein Konzept welches vom Nutzer verstanden werden will. Sicherheitsrelevante Meldungen auf einer explizit dafür vorgesehenen Sicherheitsmailingliste zu veröffentlichen ist eigentlich genau das, was man erwartet. Denn dort gehören diese Meldungen hin. Erreichen werden sie aber immer nur den sicherheitsbewussten Nutzer, egal welchen Aufwand man mit der Veröffentlichung treibt.