Login
Login-Name Passwort


 
Newsletter
Werbung

Thema: Debian 9.0 »Stretch« freigegeben

3 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von Andre am Mo, 19. Juni 2017 um 16:18 #

Hallo,
mir ist das Problem durchaus bewusst.

Der Browser ist jedoch m.E. im Desktop-Betrieb mit die für Angriffe empfindlichste Komponente. Ich frage mich wie man hier ernsthaft von neueren ESR-Versionen SecurityBugs auf alte ESR-Versionen sinnvoll Backporten will ohne ggf. neue Security-Probleme zu öffnen.

Ich fänd es gut wenns für Debian eine einfache Möglichkeit gäb wenn Firefox+Thunderbird in zwei Versionen Verfügbar wäre. Einmal in der Stablen Version wie bisher, und einmal als "mozilla-firefox-new" Package, welches immer ein offiziell supportetes ESR-Package beinhaltet.
Ich weis das das insbesondere bei internen+externen Libs und Plugins etc. ggf regressionen nach sich ziehen würde.

Hier geht es um die Desktop-Sicherheit. Wir wissen inzwischen alle das Geheimdienste und Co die Sicherheit massiv zu unterminieren versuchen - daher sollten solche eventuellen Bugs/Probleme nicht mehr unter den Teppich gekehrt werden.

>> Für neuere Versionen gibt es Backports
Meine Erfahrung mit Debian vor einigen Jahren: Backport für Firefox bzw IceWeasel aktiviert. Firefox/Iceweasel wurden aktualisiert. Thunderbird nicht - Der Debian-Howto gefolgt - es musste ein anderer Backport-Server aktiviert werden - es wurden andere im system inkompatible libs ausgetauscht - bullshitt-bingo-scheisse - wir reden hier von einem "Desktop" - da möchte ich mir frickelkram ersparen.
Und wer garantiert mir dann das die Backports regelmaessig gewartet werden? - wohl niemand mehr.

Dann fahr ich bald besser Firefox/Thunderbird der Distro runterzuwerfen und mir in /home/foobar/bin/ eigene aktuelle Binarys abzulegen
Übrigens - unter Ubuntu14.04 oderso gabs in diesem Fall (manuell installierter Firefox) reproduzierbare adobe-flash-crashes - wenn man das flash-video auf vollbild gestellt hat, sonst nicht - Frickelei hoch 3!

  • 0
    Von tijuca am Mo, 19. Juni 2017 um 21:57 #

    Firefox und Thunderbird gibt es nicht im Backports Repository sondern "nur" über die Securityupdates. Dies ist eine Besonderheit da beide Pakete im eigentlichen Sinne neue Versionen sind und somit eigentlich nicht in den Security Zweig gehören.

    Du hast scheinbar ein anderes Verständnis von Mozilla ESR Versionen wie mir scheint. Es gibt da nicht mehrere Versionen, es gibt immer nur eine und diese Version ist die von Mozilla unterstützte Version. Insofern benutzt Du diese oder lässt es. Diese wird übrigens alle 6 Wochen sehr regelmäßig veröffentlicht.

    Welche zwei Versionen soll es denn geben? Es gibt beim Firefox die ESR Versionen die faktisch nur Security und Regression Updates, beim Thunderbird gibt es in Anlehnung der Firefox ESR Version einen ähnlichen Releasezyklus. Und zusätzlich gibt es noch die normalen Entwicklungsreleases. Vom Securityteam werden aber nur die ESR Version vom Firefox bzw. an dessen Anlehnung die Thunderbirdversion eingepflegt. Für mehr Sachen sind auch keine Ressourcen da. Wer trotzdem Bleeding Etch benutzen will kann gerne auf Versionen von Upstream zurück greifen. Wer bei der Pflege der Pakete (und nicht "nur" einen Fix) helfen will ist gerne eingeladen mitzuwirken. In den letzten fünf Jahren ist dies aber nicht einmal in vorgekommen.

    Und noch etwas was Du vermutlich nicht gerne hören wirst, Backports gehört genauso wie contrtib oder non-free nicht zum offiziellen Debian, das es das doch gibt ist eine freiwillige Zusatzleistung der Maintainer. Man kommt nicht umhin sich mal mit dem Wesen und der Philosophie von Debian zu beschäftigen bevor man Kritik üben will.

    Ach ja, Ubuntu != Debian

    • 0
      Von Andre am Di, 20. Juni 2017 um 00:09 #

      beschäftige Dich einfach mit den Release Zyklen von Firefox ESR und Du wirst feststellen das in 1-2 Jahren neuere Firefox ESR versionen von Mozilla betrieben werden als die jetzt in Debian 9 mitgelieferte. Die Frage ist ob dann noch die dann veraltete Firefox ESR version sinnvoll gepatcht werden kann, oder ob es nicht sinnvoller wäre ein neues Package für die dann aktuelle Firefox-ESR version anzubieten.
      m.e wäre dann aus sicherheitssicht ein upgrade auf firefox esr 58.x sinnvoller - und zwar offiziell und nicht via 'freiwilligem' backport gefrickel.

      ---------

      Schön das du die aus Sicherheitssicht fragwürdigen Backport-Qualität hier bestätigst.

      ---------

      Das Ubuntu != Debian ist mir nichts neues - das Beispiel zeigt mir dennoch das Linux nach wie vor frickelig im Desktopbdtrieb sein kann.

Pro-Linux
Traut euch!
Neue Nachrichten
Werbung