Das was heute neu programmiert wird, erweist sich morgen schon als unsicher. Mit einer stabilen Distribution wird also nicht nur das Funktionieren sondern auch die Unsicherheit Stabilisiert. Bei der rollenden Distribution werden die bekannten Lücken am schnellsten geschlossen. Man erhält aber nicht nur neue Funktionen sondern auch deren Sicherheitslücken als Erstes.
Welche Philosophie man auch wählt, ob man sich eher konservativ oder eher aufgeschlossen entscheidet , der Platz im Karussell ist sicher.
In punkto Webkit-Browser in Debian Stable ist das deshalb keine Lösung, weil Debian selbst keinen Security-Support für fast alle Khtml- und Webkit-Browser leistet.
Siehe hierzu: https://www.debian.org/releases/stable/i386/ release-notes/ch-information.de.html#browser-security Ich zitiere aus obiger Quelle:
"5.1.1. Sicherheitsstatus von Webbrowsern
Debian 8 enthält mehrere Browser-Engines, die einem ständigen Ansturm von Sicherheitsproblemen ausgesetzt sind. Die hohe Rate von Anfälligkeiten und die teilweise fehlende Unterstützung seitens der Originalautoren in Form von langfristig gepflegten Programmversionen machen es sehr schwierig, für diese Browser Sicherheitsunterstützung auf Basis von rückportierten Fehlerkorrekturen anzubieten. Zusätzlich machen es Abhängigkeiten zwischen beteiligten Bibliotheken unmöglich, auf neuere Upstream-(Orignal-)Versionen hochzurüsten. Browser, die auf den Engines „webkit“, „qtwebkit“ und „khtml“ aufbauen, sind daher in Jessie zwar enthalten, es besteht jedoch für sie keine Sicherheitsunterstützung. Diese Browser sollten nicht für Verbindungen zu vertrauensunwürdigen Websites verwendet werden.
Für die normale Nutzung empfehlen wir Iceweasel oder Chromium.
Das Chromium-Paket - basierend auf der Webkit-Codebasis - wird aktuell gehalten, indem die aktuellen Chromium-Veröffentlichungen für Stable neu gebaut werden. Iceweasel und Icedove werden ebenfalls über ein Neubauen der aktuellen ESR-Veröffentlichungen für Stable aktuell gehalten."
Das ist in punkto Webkitgtk umso fataler, als man in manchen nun unsupporteten Webbrowsern wie dem Gnome-Epiphany-Browser noch nicht einmal mehr Javascript abschalten kann.
Einzige "Webkit"-Ausnahme ist hier Chromium, es sei denn, hier würde man den Support explizit aufkündigen (so wie in Wheezy geschehen).
Hundertprozentig unterstützt werden aktuell also nur Firefox und Chromium.
Auf diesem Hintergrund hat sich die Entscheidung z.B. des Epiphany-Projektes vor einigen Jahren, von der Gecko- auf die WebkitGtk-Engine zu wechseln, als schlichtweg fatal erwiesen. IMO müsste Debian solche Internet-Browser aus Debian Stable aus reinen Sicherheitsgründen herausnehmen (so wie das in RHEL ja geschieht). Normalnutzer dürften die Release Notes und die dortige, oben zitierte Feigenblattargumentation kaum lesen.
Auch wenn Debian sich bislang sträubt, IMO muss da eine Lösung her.
Das was heute neu programmiert wird, erweist sich morgen schon als unsicher.
Mit einer stabilen Distribution wird also nicht nur das Funktionieren sondern auch die Unsicherheit Stabilisiert.
Bei der rollenden Distribution werden die bekannten Lücken am schnellsten geschlossen.
Man erhält aber nicht nur neue Funktionen sondern auch deren Sicherheitslücken als Erstes.
Welche Philosophie man auch wählt, ob man sich eher konservativ oder eher aufgeschlossen entscheidet , der Platz im Karussell ist sicher.
Selbst bei Debian, das als ziemlich konservativ gilt, werden Security-Issue in Stable und sogar in Old-Stable gefixt.
Wo das nicht mit vertretbarem Aufwand möglich ist, wird eine neuere Version, die von Upstream Securityfixes erhält, rückportiert.
Aber für die meisten Pakete gibt es halt nur die Patches und keine neuen Funktionen.
Das scheint mir eine brauchbare Lösung.
In punkto Webkit-Browser in Debian Stable ist das deshalb keine Lösung, weil Debian selbst keinen Security-Support für fast alle Khtml- und Webkit-Browser leistet.
Siehe hierzu:
https://www.debian.org/releases/stable/i386/
release-notes/ch-information.de.html#browser-security
Ich zitiere aus obiger Quelle:
"5.1.1. Sicherheitsstatus von Webbrowsern
Debian 8 enthält mehrere Browser-Engines, die einem ständigen Ansturm von Sicherheitsproblemen ausgesetzt sind. Die hohe Rate von Anfälligkeiten und die teilweise fehlende Unterstützung seitens der Originalautoren in Form von langfristig gepflegten Programmversionen machen es sehr schwierig, für diese Browser Sicherheitsunterstützung auf Basis von rückportierten Fehlerkorrekturen anzubieten. Zusätzlich machen es Abhängigkeiten zwischen beteiligten Bibliotheken unmöglich, auf neuere Upstream-(Orignal-)Versionen hochzurüsten. Browser, die auf den Engines „webkit“, „qtwebkit“ und „khtml“ aufbauen, sind daher in Jessie zwar enthalten, es besteht jedoch für sie keine Sicherheitsunterstützung. Diese Browser sollten nicht für Verbindungen zu vertrauensunwürdigen Websites verwendet werden.
Für die normale Nutzung empfehlen wir Iceweasel oder Chromium.
Das Chromium-Paket - basierend auf der Webkit-Codebasis - wird aktuell gehalten, indem die aktuellen Chromium-Veröffentlichungen für Stable neu gebaut werden. Iceweasel und Icedove werden ebenfalls über ein Neubauen der aktuellen ESR-Veröffentlichungen für Stable aktuell gehalten."
Das ist in punkto Webkitgtk umso fataler, als man in manchen nun unsupporteten Webbrowsern wie dem Gnome-Epiphany-Browser noch nicht einmal mehr Javascript abschalten kann.
Einzige "Webkit"-Ausnahme ist hier Chromium, es sei denn, hier würde man den Support explizit aufkündigen (so wie in Wheezy geschehen).
Hundertprozentig unterstützt werden aktuell also nur Firefox und Chromium.
Auf diesem Hintergrund hat sich die Entscheidung z.B. des Epiphany-Projektes vor einigen Jahren, von der Gecko- auf die WebkitGtk-Engine zu wechseln, als schlichtweg fatal erwiesen. IMO müsste Debian solche Internet-Browser aus Debian Stable aus reinen Sicherheitsgründen herausnehmen (so wie das in RHEL ja geschieht). Normalnutzer dürften die Release Notes und die dortige, oben zitierte Feigenblattargumentation kaum lesen.
Auch wenn Debian sich bislang sträubt, IMO muss da eine Lösung her.