Das ist natürlich auch eine Möglichkeit zu formulieren, dass Sicherheitslücken gestopft wurden, die im derzeit stabilen Zweig offen sind, deren Bugzilla-Einträge gesperrt sind, für die es keine isolierten Patches gibt und die Distributoren somit nur schließen können, indem sie eine völlig neue Version mit neuen Features, neuen Elementen in der Oberfläche, neuen Bugs, neuen Standardeinstellungen, Inkompatibilität zu ausnahmslos allen Erweiterungen und einem insgesamt deutlich anderen Verhalten verteilen, sprich: Sicherheitsupdates mit minimalem Effekt, wie sie im Sinne von Stabilität und Kontinuität wünschenswert wären, gehen leider nicht.
Er ist einfach ein bl**** Ar******* das provozierende Beiträge schreibt und sich über seine eigene Dummheit amüsiert.
Manchmal wünschte ich man müsste sich in diesem oder anderen Foren mit richtigen Namen registeren (hier muß man sich garnicht registrieren) und könnte keinen zweiten Account aufmachen. Dann würden diese Typen schneller weg sein als man glaubt.
> Er ist einfach ein bl**** Ar******* das provozierende > Beiträge schreibt und sich über seine eigene Dummheit > amüsiert.
Du bezeichnest also Menschen, die die Bedenken der Debian-Sicherheitsexperten, Mozilla-Produkte genau deswegen aus der Debian-Distribution zu entfernen, inhaltsgetreu nacherzählen, als blöde Arschlöcher, die sich über ihre eigene Dummheit amüsieren. Wer sich dadurch provoziert fühlt, hat ein Problem.
Im Übrigen: Wer es wagt, Missstände in Mozilla-Produkten zu benennen, der muss unbedingt mit Schimpfworten belegt und in aller Deutlichkeit in die Schranken verwiesen werden! Nur so kann der gute Ruf der Mozilla-Produkte erhalten werden und OSS zum Erfolg gebracht werden! Mozilla hat keine Missstände.
> Manchmal wünschte ich man müsste sich in diesem oder > anderen Foren mit richtigen Namen registeren
Das ist ein hervorragender Vorschlag. Sei aber vorsichtig, es könnte passieren, dass er als unfrei durchfällt.
> und könnte keinen zweiten Account aufmachen.
Weshalb sollte hier irgendwer einen zweiten Account aufmachen wollen?
> Dann würden diese Typen schneller weg sein als man glaubt.
Die Debian Sicherheitsexperten meckern nur an, daß es keine separaten Patches gibt. Von "nicht öffentlichen" Bugzilla Einträgen haben die garnichts gesagt.
Dnd was dich angeht so verdrehst du die Meldungen wie es dir gerade passt. Die "Sicherheitsverbesserungen" ist ein Phishingschutz, der die Leute warnt, wenn sie auf eine URL klicken die nicht das ist was sie zu sein scheint. Das hat nichts mit Bugfixes zu tun.
Und zu jedem Thema postet du hier deinen Müll rein als wärst du der Weise vom Himalaya und erzählst nur Blödsinn.
Ach ja und was ich gemeint habe mit "Dann würden diese Typen schneller weg sein als man glaubt" ist, daß Trolle wie du sich nur in dem Schutz der Anonymität wohl fühlen und ich bin mir verdammt sicher, daß du bei heise.de mehrere Accounts hast und dort genauso rumtrollst.
> Die Debian Sicherheitsexperten meckern nur an, daß > es keine separaten Patches gibt. Von "nicht öffentlichen" > Bugzilla Einträgen haben die garnichts gesagt.
Das ist beides genau dasselbe, die Patches stehen nämlich in den Bugzilla-Einträgen als Dateianhänge.
> Dnd was dich angeht so verdrehst du die Meldungen wie es > dir gerade passt.
Nein, das tun andere.
> Die "Sicherheitsverbesserungen" ist ein Phishingschutz, > der die Leute warnt, wenn sie auf eine URL klicken die > nicht das ist was sie zu sein scheint. Das hat nichts > mit Bugfixes zu tun.
Das stimmt nicht. Die Links zu den sieben Gecko-Sicherheitslücken, die in den letzten zehn Tagen im Beta-Branch, nicht aber im stabilen Zweig gepatcht wurden, nenne ich jetzt allerdings nicht erneut.
Der IDN-Bug in Firefox ist so ein Beispiel dafür: Drei Tage vor der Beta gemeldet, nicht gepatcht, stattdessen Bugzilla dichtgemacht, Beta in Kenntnis dieses Umstands einfach trotzdem freigegeben in der Hoffnung, dass es keiner merkt, nach der Veröffentlichung durch einen Dritten mit heruntergelassener Hose dagestanden. So läuft das bei allen Gecko-Sicherheitslücken. Ja, ich weiß, dass Thunderbird von diesem Beispiel betroffen ist. Nein, bei Thunderbird-Lücken läuft es nicht anders und bei Gecko-Lücken, von denen alle Mozilla-Produkte betroffen sind, ebenfalls nicht.
> Und zu jedem Thema postet du hier deinen Müll rein > als wärst du der Weise vom Himalaya und erzählst nur > Blödsinn.
Du möchtest mich also weiterhin persönlich angreifen und die 1:1-Wiedergabe der Aussagen renommierter Leute als Blödsinn darstellen.
> Ach ja und was ich gemeint habe mit "Dann würden diese > Typen schneller weg sein als man glaubt" ist, daß Trolle > wie du sich nur in dem Schutz der Anonymität wohl fühlen > und ich bin mir verdammt sicher, daß du bei heise.de > mehrere Accounts hast und dort genauso rumtrollst.
Siehst Du, so sicher kann man sich sein und trotzdem falsch liegen. Bei heise.de war ich nämlich nie angemeldet, weil dieses Paradies der sicherheitslückenabstreitenden, bei jeder Gelegenheit in hirnverbrannter Weise gegen "M$" bashenden und die eigene kleine Miniwelt rot- und grünklickenden Linuxtrolle nicht zu ertragen ist.
Genauso sicher bist Du Dir in Deinem Glauben, dass meine Darstellung der Mozilla-Probleme falsch ist, und genauso daneben liegst Du auch damit. Manche Leute können einfach nicht ohne wiederholte persönliche Angriffe auskommen. Zum Glück sind sie daran so schnell zu erkennen. Einen verdammt schlechten und peinlichen Eindruck machen sie aber trotzdem.
> Das du nicht dazugeschrieben hast, daß du jemanden > zitisiert hast du diese Aussage als deine eigene > angenommen.
Diese Aussage verstehe ich nicht.
> Ach so nebenbei. Der IDN Bug ist bereits im Nightly > gepatcht und den Patch kann man sich sogar aus dem > Bugzilla holen.
1. Benutzer sollen keine Nightly Builds verwenden 2. Der Bug war schon mal als "FIXED" geschlossen und wurde dann wieder "REOPENED", weil der Patch nicht OK war. Ich rede hier nicht von dem XPI-Workaround, der wurde nie als Fix bezeichnet und ist auch keiner, sondern von dem eigentlichen Patch, bei dem man sich jetzt fragen kann, ob er so langsam seine endgültige Gestalt annehmen wird. 3. Ich benutze genau so einen Nightly Build. Du kannśt gerne darauf verzichten, mich in dieser Sache aufzuklären. 4. Die Lücke ist selbstverständlich nicht behoben, die aktuell an Benutzer gerichtete Version ist nämlich die 1.0.6 und die aktuell an interessierte Leute gerichtete Version ist die 1.5 Beta 1. Für beide gibt es nur einen zweifelhaften Workaround, der übrigens auch, nachdem er schon mal veröffentlicht war, geändert wurde, weil das erste XPI unter Linux falsche Berechtigungen setzte (400), so dass der Patch gar nicht funktionierte.
> Na sowas aber auch.
Halten wir einfach fest: Wer zur Zeit eine an Benutzer gerichtete Version der bekannten Mozilla-Produkte verwendet, der benutzt einen Browser, dessen Hersteller weiß, dass und wo er verwundbar ist und wie die Verwundbarkeit auszunutzen ist. Das ist an und für sich in Ordnung, weil die Verzögerung wegen der Qualitätssicherung notwendig ist. Genau dies macht auch der Hersteller bekannter Softwareprodukte unter dem Namen "Patch Day" und erntet dafür monatlich hirnverbrannte Trollparaden aus dem bekannten Lager, obwohl es das einzig richtige ist und vom Mozilla-Projekt genauso gemacht wird. Na sowas aber auch.
Darum ging es im Wesentlichen: Dass Mozilla, beispielhaft für eine Menge bekannter OSS-Produkte, NICHT anders verfährt als bekannte andere Softwarehersteller, dass es bei beiden genau richtig ist und dass bitte, bitte die peinliche, nervige und überflüssige Preisung bestimmter und Verunglimpfung anderer Produkte aufhören soll, damit man diese Plattform hier endlich mal wieder ernst nehmen kann.
Die Patches sind zwar zur Zeit im Nightly aber wenn sich keine Probleme zeigen dann wird der Patch nach kurzer Zeit in die Stabile Version übernommen. Sowas in der Art macht MS im Grunde auch aber nicht öffentlich.
Und was den Patchday angeht, so ist dieser nicht das einzig richtige sondern eigentlich unverantwortlich. MS bringt z.B. zum nächsten Patchday einen Patch für eine kritische Lücke nicht. Da kann man dann 4 Wochen warten bis der Patch kommt. Es kam im übrigen auch schon vor, daß Exploits gab, bei denen die Lücke noch nicht mal bekannt war. Wenn MS dann sagt "da müssen sie bis zum nächsten Patchday warten", dann ist das purer Hohn.
Du willst Dich also weiter im Kreis drehen: Beide machen genau dasselbe, sie geben ihren Patch nämlich erst frei, wenn er die Qualitätssicherung bestanden hat und versuchen im Übrigen möglichst bis zum Abschluss der Qualitätssicherung schlicht und einfach geheimzuhalten, dass es ein Problem gibt und wo dieses liegt. Genau dasselbe, beim einen gut und beim anderen unverantwortlich und "purer Hohn". Danke, genau das wollte ich wissen, damit ist alles geklärt.
Könntest Du bitte davon Abstand nehmen, mich über Dinge zu belehren, die ich weiß? Ob Du es glaubst oder in Deiner "der postet nur provokativen Blödsinn"-Emotionalität vergisst: Ich beteilige mich nicht an Diskussionen zu Themen, von denen ich nichts weiß! Weitere Ausführungen, weshalb der in diesem Link beschriebene und mir bestens bekannte Sachverhalt nicht reicht, findest Du oben.
"Der IDN-Bug in Firefox ist so ein Beispiel dafür: Drei Tage vor der Beta gemeldet, nicht gepatcht, stattdessen Bugzilla dichtgemacht, Beta in Kenntnis dieses Umstands einfach trotzdem freigegeben in der Hoffnung, dass es keiner merkt, nach der Veröffentlichung durch einen Dritten mit heruntergelassener Hose dagestanden. So läuft das bei allen Gecko-Sicherheitslücken. Ja, ich weiß, dass Thunderbird von diesem Beispiel betroffen ist. Nein, bei Thunderbird-Lücken läuft es nicht anders und bei Gecko-Lücken, von denen alle Mozilla-Produkte betroffen sind, ebenfalls nicht."
Das nennt man Softwaremanagement, schon mal was davon gehört?
Es gibt nen Release Plan, der sollte nach Möglichkeit auch eingehalten werden, es sei denn es sind gravierende Probleme vorhanden, die ein Release absolut in Frage stellen, in dem Case wohl überhaupt nicht der Fall, denn es geht hier um eine Firefox Version die ja noch nicht mal Stable ist.
Wenn du deine lieben Debian Maintainer zitierst, dann kann ich dir nur sagen, Debian ist ein Verein von Leuten, denen Termine etc egal sind. Release Termince etc. kennen die doch gar nicht, also gebe ich den Aussagen von Debian Leuten nicht allzuviel Bedeutung:-)
Ich will hier Debian nicht schlecht machen, aber die hätten genug Probleme in den eigenen Reihen, die sie zuerst mal in Angriff nehmen sollten.
Was den Rest deines Gertolles angeht von wegen Änderungen Firefox 1.5 zu 1.0 kann ich nur sagen, guck die IE 6 zu 7 an, grundlegende Verbesserungen benötigen nunmal Änderungen die auch Inkompatibilitäten schaffen, war bei SP2 auch nicht anders, sowas ist zwar ncht schön aber oft notwendig, man kann auch Jahre lang weiter frickeln, so wie man es ja beim IE auch gemacht hat oder gleich Nägel mit Köpfen machen.
> Das nennt man Softwaremanagement, schon mal was davon gehört?
Ja, und zwar im Zusammenhang mit den sog. "Patch Days" eines großen Softwareherstellers, da ist es aber schlecht, obwohl es genau dasselbe ist, wie ich gerade erfahren habe.
> Was den Rest deines Gertolles angeht [...]
Tja, manche Leute kommen halt nicht ohne persönliche Angriffe aus, schade, aber so ist das halt, wenn man es wagt zu blasphemieren.
Was hat ein Patchday jetzt mit unserer Diskussion zu tun?
Was ist schlecht daran, keine Patches mehr für den alten Firefox herauszubringen und sich nur noch auf den neuen zu konzentrieren?
Der neue ist schneller sicherer und hat noch mehr Komfort, warum sollte man also den Linux Distributionen den nicht aufs Auge drücken, so dass die den alten rausschmeißen und den neuen im Zuge eines Updates bringen. Für mich spricht da nix dagegen. Klar muss voehr sichergestellt sein, dass danach auch die Extensions wieder funktionieren, dafür gibts die Beta Tests etc. damit die Extensions angepasst werden können, es gibt auch schon Entwickler, die haben schon längst support für den neuen drin, z.B. Download Statusbar, der hatte schon vor Wochen eine Extension, die mit dem 1er sowie nightly lief. Wenn man natürlich Extensions einsetzen will, die nicht mehr gewartet bzw Supported werden, dann muss man sich fragen, ob diese Extensions wirklich nötig sind bzw. zu empfehlen, ich setze jedenfalls nirgends Software ein, die nicht mehr aktiv gewartet wird und man auf Updates hoffen kann.
Ich verstehe das Problem nicht, bei alter Microsoft Software bekommst du doch auch keinen Support bzw Patches mehr. Wenn die Debianer auch in 2010 noch Patches für den 1.0er bringen wollen, dann sollen sie sie doch selbst schreiben oder den Browser rausnehmen.
> Klar muss voehr sichergestellt sein, dass danach auch die Extensions wieder funktionieren Bingo. Man hat ja bei Thunderbird gesehen, dass Enigmail nach dem Update nicht mehr funktioniert hat.
> Ich verstehe das Problem nicht, bei alter Microsoft Software bekommst du doch auch keinen Support bzw Patches mehr. Der Standard-Support für Windows 2000 lief erst im Juni 2005 aus. Nach Mozilla-Manier hätte MS den schon am Erscheinungstag von Windows XP auslaufen lassen sollen.
> Wenn du deine lieben Debian Maintainer zitierst, dann kann ich dir nur sagen, Debian ist ein Verein von Leuten, denen Termine etc egal sind. Release Termince etc. kennen die doch gar nicht, also gebe ich den Aussagen von Debian Leuten nicht allzuviel Bedeutung:-)
Nur blöd, dass das SUSE Security Team ähnlicher Meinung ist: http://www.advogato.org/person/Marcus/diary.html?start=78 Ein Update von Mozilla bzw. Firefox kann nämlich auch ein Update von Epiphany oder Galeon erzwingen, welches wiederum ein Update von Gtk+ erzwingt, was wiederum libcairo benötigt, ... Am Ende muss die halbe Distribution ausgetauscht werden und das nur für die Mozilla-Jungs.
"Firefox kann nämlich auch ein Update von Epiphany oder Galeon erzwingen"
So ein Unsinn, die nutzen doch alle nur die Rendering Engine und dort ändert sich ja API mäßig kaum was und wenn sie sie schon nutzen, dann sollen die eben passende Updates rausbringen, die nicht ein upgrade der halben distri nach sich ziehen
"auch ein Update von Epiphany oder Galeon erzwingen, welches wiederum ein Update von Gtk+ erzwingt"
Ja und wessen Problem ist das dann, doch nicht das von Mozilla, das haben dann die Leute verbockt, die Epiphany oder Galeon programmieren und die sollen froh sein, wenn sie ne rendering engine nutzen können.
"Am Ende muss die halbe Distribution ausgetauscht werden und das nur für die Mozilla-Jungs."
Tja Mozilla muss aber gucken, dass sie den neuen Browser puschen, der IE 7 steht vor der Tür und es werden sich wieder viele User fragen, IE oder FF:-)
Außerdem, wem es nicht passt, wie Mozilla momentan vorgeht, der kann sich ja dort gerne als Entwickler vorstellen um den backports einzubauen, ich jedenfalls hätte keine Lust am Mozilla Code rumzuschrauben, der ist genauso veraltet wie der Code des IE. Außerdem gibts ja auch KHTML.
> So ein Unsinn, die nutzen doch alle nur die Rendering Engine und dort ändert sich ja API mäßig kaum was und wenn sie sie schon nutzen, dann sollen die eben passende Updates rausbringen, die nicht ein upgrade der halben distri nach sich ziehen Demnach hätten die Galeon-Entwickler wohl auf ewig bei Gtk+ 1.2 bleiben sollen. Es geht hier aber um Sicherheitslücken und die sollten so gefixt werden, dass man nicht die halbe Distribution aktualisieren muss. Und nicht Epiphany hat Sicherheitslücken, sondern Gecko. Wenn Epiphany, also das Gecko-Frontend ne Sicherheitslücke hat, dann wird auch ein Patch herausgegeben, den die Security-Teams einpflegen können.
> Ja und wessen Problem ist das dann, doch nicht das von Mozilla, das haben dann die Leute verbockt, die Epiphany oder Galeon programmieren und die sollen froh sein, wenn sie ne rendering engine nutzen können. Nein, die Mozilla-Jungs brauchen einfach nur das API der libgtkembedoz.so und einiger weiterer Libs stabil zu halten. Aber das ist ja wohl zuviel verlangt. Wie wärs, wenn der Linuxkernel mal POSIX über den Haufen wirft?
> Tja Mozilla muss aber gucken, dass sie den neuen Browser puschen, der IE 7 steht vor der Tür und es werden sich wieder viele User fragen, IE oder FF:-) Oder anders ausgedrückt: Die Mozilla Foundation interessiert nur eines: Ein hoher Marktanteil unter Windows. Dass dabei andere Plattformen sowie von ihnen abhängige Projekte auf der Strecke bleiben, ist denen völlig egal. Die Plugin/Extension-Entwickler freuen sich auch tierisch, dass sie alle paar Wochen ein Update ihrer Software herausbringen müssen.
Zitat: Der IDN-Bug in Firefox ist so ein Beispiel dafür: Drei Tage vor der Beta gemeldet, nicht gepatcht, stattdessen Bugzilla dichtgemacht, Beta in Kenntnis dieses Umstands einfach trotzdem freigegeben in der Hoffnung, dass es keiner merkt, nach der Veröffentlichung durch einen Dritten mit heruntergelassener Hose dagestanden. So läuft das bei allen Gecko-Sicherheitslücken. Ja, ich weiß, dass Thunderbird von diesem Beispiel betroffen ist. Nein, bei Thunderbird-Lücken läuft es nicht anders und bei Gecko-Lücken, von denen alle Mozilla-Produkte betroffen sind, ebenfalls nicht.
Wie Du schreibst, es ist beta! Software, also warum sollten Sie diese zurückhalten?
MfG Oliver Ich kann mich des Eindrucks nicht erwehren, das hier gezielt von G.W. FUD gestreut wird. Von wem wirst Du dafür bezahlt?
> ich verstehe nicht ganz was genau man hier will wenn man nur nörgelt?
Du bezeichnest es also als "Nörgeln", die Bedenken der Debian-Sicherheitsexperten, die wegen genau dieser Bedenken bereits darüber nachgedacht haben, Mozilla-Produkte aus der Debian-Distribution zu entfernen, inhaltsgetreu nachzuerzählen.
Von Archangelo am Mo, 12. September 2005 um 18:09 #
Siehste G.W., schon wieder eine Watsch'n abgeholt. Das liegt nicht an Dir, sondern am "Tonfall". Sei doch etwas diplomatischer. Die Sachinfo ist ja ok. Ich verspreche Dir auch, in Zukunft weniger provokant zu sein.
Von Pater Brown am Mo, 12. September 2005 um 18:17 #
> Siehste G.W., schon wieder eine Watsch'n abgeholt.
Das war keine WatschŽn sonder nur das Gerülpse eines Kretins (RipClaw)!
Und was diesen A.F. anbetrifft, ist das nur die übliche blöde Frage aus der Community: "Was willst Du denn hier, wenn Du Linux kritisierst?". Wenn er über Win herziehen würde, dann würden diese Typen kreischen vor Vergnügen!
>> Siehste G.W., schon wieder eine Watsch'n abgeholt.
> Das war keine WatschŽn sonder nur das Gerülpse eines Kretins (RipClaw)!
Wer andere als Kretins bezeichnet ist ein aroganter Snob und damit nicht viel besser.
Du kritisierst Ständig an allen Ecken und Enden Linux und OpenSource, aber bringst nie was konstruktives. Hast du auch nur einmal daran gedacht, daß die Leute sehr viel Zeit und Arbeit in die Softare gesteckt haben und auch entsprechend Anerkennung verdienen ? Nein, natürlich nicht, denn sowas ist ja für dich selbstverständlich. Das finde ich erbärmlich.
> Hast du auch nur einmal daran gedacht, daß die Leute > sehr viel Zeit und Arbeit in die Softare gesteckt haben > und auch entsprechend Anerkennung verdienen ?
Niemand will Leute persönlich demotivieren oder demoralisieren! Es geht nur darum, dass Dinge, die einfach grottenschief laufen, zumindest meiner Meinung nach kein übertriebenes Maß an Anerkennung verdienen. Als Ganzes anerkenne ich die Arbeit der Entwickler sehr wohl! Ich hätte nicht gedacht, dass man das extra dazusagen muss.
Von Sebastian am Mo, 12. September 2005 um 18:18 #
> Du bezeichnest es also als "Nörgeln", die Bedenken der Debian-Sicherheitsexperten, > die wegen genau dieser Bedenken bereits darüber nachgedacht haben, Mozilla-Produkte > aus der Debian-Distribution zu entfernen, inhaltsgetreu nachzuerzählen.
Die Politik der Mozilla Organistation ist eine Sache (ich finds auch nicht gut). Was Du aber hier mittlerweile betreibst, ist aber langsam nervtötend. Sicher haben viele Projekte die einen oder anderen Probleme. Du scheinst es aber als Deine Aufgabe zu sehen, diese hier jedesmal anzusprechen (dazu oftmals übertrieben), auch wenn das Thema manchmal schon totgeschrieben wurde. Einen zum Thema positiven Kommentar habe ich jedenfalls nicht in Erinnerung.
Von Pater Brown am Mo, 12. September 2005 um 18:35 #
> Sicher haben viele Projekte die einen oder anderen Probleme. Du scheinst es aber als Deine > Aufgabe zu sehen, diese hier jedesmal anzusprechen ...
Du hälst es also für falsch Probleme anzusprechen? Heist es nicht immer aus der Community, daß genau dies die Politik von Microsoft sei - und jetzt soll diese Politik für Linux/OpenSource gutgeheißen werden, oder was?
Sagen wir es doch offen, Kritik an Linux/OpenSource ist unerwünscht! Es darf vielleicht so ein bißchen rumgekritelt werden, aber tiefergehende Kritik am Götzen Linux/OpenSource ist ungehörig, ja, geradezu Hochverrat!
Hey Leutz, wie wäre es jetzt mit so einem richtig affengeilen M$ Bashing? :)))
>> Sicher haben viele Projekte die einen oder anderen Probleme. Du scheinst es aber als Deine > Aufgabe zu sehen, diese hier jedesmal anzusprechen ...
> Du hälst es also für falsch Probleme anzusprechen? Heist es nicht immer aus der Community, daß genau dies die Politik von Microsoft sei - und > jetzt soll diese Politik für Linux/OpenSource gutgeheißen werden, oder was?
Rumnörgeln ist die eine Sache aber konstruktive Kritik ist was ganz anderes. Sich einbringen und mal gegen das was zu tun was man anprangert ist die andere. Bei OpenSource hat man diese Möglichkeit aber es wird nur gemeckert, und gemeckert.
Und die Leute die die Probleme nicht so eng sehen sind euerer geschätzen Meinung nach ja wohl Betriebsblind.
Debian bringt z.B. 3 Wochen keine Sicherheitsupdates. Sofort wird lauthalt rumgebrüllt, daß Debian unsicher ist und was das alles für eine mistige Organisation ist. Aber hat sich von den ganzen Nörglern überhaupt auch nur ein einziger dazu bereiterklärt zu Helfen das Sicherheitsteam zu verstärken ? Zudem ist bei vielen Leuten eine Erwartungshaltung vorhanden die nicht auszuhalten ist. In ihrer Arroganten Art und Weise gehen diese Leute davon aus, daß die Entwickler ihnen gegenüber eine Verpflichtung hätten.
> Sich einbringen und mal gegen das was zu tun was > man anprangert ist die andere. Bei OpenSource hat > man diese Möglichkeit aber es wird nur gemeckert, > und gemeckert.
Genau. Ist ja OpenSource, kann ja jeder selber patchen. Nur bringt das leider nichts, wenn im nächsten Moment ein peinlicher Fanboy ankommt und verkündet, dass das alles so super geil ist, weil 5-5000000 Leute sich schon darum kümmern.
Dies ist kein Scherz, insbesondere die Zahl von 5-5000000 nicht. Das ist gestern erst verkündet worden.
> Debian bringt z.B. 3 Wochen keine Sicherheitsupdates. > Sofort wird lauthalt rumgebrüllt, daß Debian unsicher > ist und was das alles für eine mistige Organisation ist.
Wie nennst Du es denn bitte, wenn 3 Wochen lang keine Updates für vorhandene Lücken kommen? Welchen Euphemismus soll man sich dafür ausdenken?
> Aber hat sich von den ganzen Nörglern überhaupt auch nur > ein einziger dazu bereiterklärt zu Helfen das > Sicherheitsteam zu verstärken ?
Ich höre immer nur, dass Debian nicht nur reif für den Unternehmenseinsatz, sondern sogar das Beste dafür wäre, weil es so unglaublich sicher und DEB besser als RPM sei und außerdem noch das GNU-Etikett draufsteht, welches viele Herzen höher schlagen lässt.
Ja was denn jetzt? Ist es jetzt reif für den Unternehmenseinsatz, dazu gehört auch eine professionelle und gesicherte(!) Updatepolitik von Zuverlässigkeit, oder ist es das nicht und man darf sich das "Mach's doch selbst, ist doch OpenSource"-Totschlagargument anhören? Irgendwann muss man sich auch mal entscheiden.
> Zudem ist bei vielen Leuten eine Erwartungshaltung > vorhanden die nicht auszuhalten ist.
Jetzt streng Dich mal ganz doll an und rate, von wem diese Erwartungshaltung geweckt wurde.
Übrigens: Bei kommerzieller Software ist diese Erwartungshaltung sogar berechtigt, vielleicht liegt es einfach daran, dass die genannten Produkte zu oft als 1:1-Entsprechung oder sogar rundum überlegene Versprechung für kommerzielle Software angepriesen wurden, was sie ja dem, was Du jetzt sagst, zufolge nicht sind.
Mit anderen Worten: Ich will genau dasselbe erreichen wie Du, aber von einer anderen Seite.
> In ihrer Arroganten Art und Weise gehen diese Leute > davon aus, daß die Entwickler ihnen gegenüber eine > Verpflichtung hätten.
Dann mach mit und treib es den Fanboys aus, ständig Erwartungen zu wecken, die nicht zu halten sind.
Ich bin kein Fanboy. Ich sehe OpenSource durchaus nüchtern aber ständig nur gemotze zu hören ist schlicht und ergreifend auf die Nerven. Vor allem wenn Leute wie du meinen sie müssten alles mies machen.
Und was die Updatepolitik von Debian und diesen 3 Wochen Aussetzer angeht, so war das ein einmaliger Ausrutscher aber diverse Firmen haben Updatepausen von Monaten (z.B. Oracle patcht nur alle 4 Monate). Und die Software wird komischerweise massenhaft in Unternehmen eingesetzt. Und da hast du nicht mal die Wahl. Da bist du auf Teufel komm raus auf das entsprechende Unternehmen angewiesen.
Man muß sich übrigens nicht mal auf Debian verlassen. Man kann auch ein Unternehmen dafür bezahlen auf die Sicherheit zu achten, und die Leute dieses Unternehmens können die Patches vornehmen.
Ach ja, die Erwartungshaltung kommt bei vielen Leuten von ganz alleine. Da diese sich mit Halbwissen und Hörensagen sich ihr eigenes falsches Bild machen. Ich kenne das zur Genüge. Ich erlebe es tagtäglich.
> Ich sehe OpenSource durchaus nüchtern aber ständig nur gemotze > zu hören ist schlicht und ergreifend auf die Nerven.
Ständig nur "ist alles nicht so schlimm, schließlich geht es hier um ein Problem in einer OpenSource-Software" zu hören, geht auch irgendwann auf die Nerven.
> Vor allem wenn Leute wie du meinen sie müssten alles mies machen.
Ich habe doch genauestens erklärt, was ich bezwecke.
> Ach ja, die Erwartungshaltung kommt bei vielen Leuten von > ganz alleine.
Sicher?
> Da diese sich mit Halbwissen und Hörensagen sich ihr eigenes > falsches Bild machen.
Das, nämlich Leute, die sich mit Halbwissen und Hörensagen ein falsches Bild machen, gibt es leider tatsächlich zur Genüge.
> Was Du aber hier mittlerweile betreibst, ist aber langsam nervtötend.
Es ist OK, es so zu sehen, schließlich sehe ich gewisse Dinge, die einfach nur peinlich sind und nerven, ganz genauso.
> Du scheinst es aber als Deine Aufgabe zu sehen, diese > hier jedesmal anzusprechen (dazu oftmals übertrieben), > auch wenn das Thema manchmal schon totgeschrieben wurde.
Das nehme ich gerne an, zumal ich heute schon jemand anderen wegen regelwidriger Crosspostings kritisiert habe. Danke für die berechtigte Kritik.
Allerdings ist mir wirklich daran gelegen, Mozilla-Produkten den Heiligenschein zu nehmen, weil es einfach besser so ist. In zahlreichen Foren nehme ich nämlich zur Zeit sehr stark wahr, dass die Benutzer dieser Produkte zum Teil sehr enttäuscht sind, weil diverse Fanboys, die mit ihrer Arroganz mal wieder übertrieben haben, Erwartungen geweckt haben, die nicht zu erfüllen sind. Insofern gebe ich gerne zu, dass ich genau diesen Leuten durchaus ein wenig den Spaß verderben wollte, damit sie endlich mal einsehen, dass sie es mit der "Mozilla ist ja so unglaublich sicher"-Verkündung nicht übertreiben sollen, weil das allen Beteiligten nur schadet!
> Einen zum Thema positiven Kommentar habe ich > jedenfalls nicht in Erinnerung.
"Allerdings ist mir wirklich daran gelegen, Mozilla-Produkten den Heiligenschein zu nehmen, weil es einfach besser so ist. In zahlreichen Foren nehme ich nämlich zur Zeit sehr stark wahr, dass die Benutzer dieser Produkte zum Teil sehr enttäuscht sind, weil diverse Fanboys, die mit ihrer Arroganz mal wieder übertrieben haben, Erwartungen geweckt haben, die nicht zu erfüllen sind. Insofern gebe ich gerne zu, dass ich genau diesen Leuten durchaus ein wenig den Spaß verderben wollte, damit sie endlich mal einsehen, dass sie es mit der "Mozilla ist ja so unglaublich sicher"-Verkündung nicht übertreiben sollen, weil das allen Beteiligten nur schadet!"
Das sei dir ja unbenommen, nur leider machst du mit der Art wie du dies machst diese Seite völlig unbrauchbar. Du magst es ja naiv finden, aber ich wollte mir die Kommentare zu dem Thema gerade ansehen in der Hoffnung, etwas Interessantes zu finden und was finde ich mal wieder? Einen von dir ausgelösten Flamewar, inklusiven dümmlichster persönlicher Beleidigungen von allen Seiten.
Das muss man doch auch anders machen können, oder nicht?
Das habe ich auch nicht behauptet, aber er hat nacher kräftig mitgehalten und, was mein eigentlicher Punkt war, seine Postings enden regelmäßig in solchen Flamewars und gegenseitigen Beleidigungen.
Deshalb meine Frage, ob es nicht vielleicht möglich wäre, seine Meinung auf eine Art und Weise zu äussern, die eben nicht automatisch zu solchen Auswüchsen führt und die Seite völlig unbrauchbar für normale Kommunikation machen.
Von Ralph Miguel am Mo, 12. September 2005 um 21:07 #
Wenn ich mir sein erstes Posting so durchlese, finde ich nichts anstößiges daran, auch nicht im Tonfall. Sein Stil mag manchmal zur Nörgelei neigen, aber diesmal haben andere Leute den Thread vermüllt.
Ganz allgemein könnte der Umgangston hier allerdings durchaus besser sein.
> Wenn ich mir sein erstes Posting so durchlese, finde ich nichts anstößiges daran, auch nicht im Tonfall. Sein Stil mag manchmal zur Nörgelei neigen, aber diesmal haben andere Leute den Thread vermüllt.
Mir ist einfach nur der Kragen geplatzt. Da kommt eine Meldung über Mozilla Thunderbird und den Neuerungen des Releases und die erste Reaktion ist Nörgelei von einem Forumsbekannten Troll der immer nur provozieren will. Kann der sich nicht eine Sekunde zurückhalten und wenigens sich mal abwarten ob ein paar gute Beiträge kommen. Nein der muß ja sofort mit seiner "heiligen Mission" anfangen. Er hat ja selber geschrieben, daß seine Absicht ist: [Zitat]Allerdings ist mir wirklich daran gelegen, Mozilla-Produkten den Heiligenschein zu nehmen, weil es einfach besser so ist.[/Zitat]
> Da kommt eine Meldung über Mozilla Thunderbird und den > Neuerungen des Releases und die erste Reaktion ist Nörgelei > von einem Forumsbekannten Troll der immer nur provozieren will.
Du möchtest mit den persönlichen Angriffen in Form des Tr-Wortes also nicht aufhören und nicht anhören, dass ich mitnichten nur provozieren, sondern etwas bestimmtes erreichen möchte. Das ist sehr Schade und macht jedes weitere Gespräch überflüssig.
> Kann der sich nicht eine Sekunde zurückhalten und wenigens > sich mal abwarten ob ein paar gute Beiträge kommen.
Das, mein lieber, entscheide ich ganz alleine. Dies hier ist ein offenes Forum. Würde der Betreiber nicht wollen, dass bestimmte Leute den ersten Beitrag schreiben, dann könnte er das einfachst technisch verhindern. Tut er aber nicht. Kann es sein, dass Du dazu neigst, lieber nicht hören zu wollen, was Dir in den Kram passt?
Von Anony Maus am Di, 13. September 2005 um 08:30 #
Für mich ist jemand der das Kürzel G.W. für seinen Nick in einem Linux Forum verwendet von voneherein ein Provokant. Alleine deswegen werde ich eher nicht mit ihm diskutieren.
Er schreibt, dass die Mozilla Foundation zwar groß mit der angeblichen Sicherheit ihrer Produkte wirbt, aber eine der intransparentesten Verfahrensweisen mit Sicherheitslücken der gesamten Opensourcescene hat.
Ansonsten: Einfach seinen beitrag nochmal lesen und über den einen oder anderen Grammatikfehler hinwegsehen.
es ist einfach nur noch nervig, die kommentare hier zu lesen. zu jeder nachricht dein oder headrooms dummgelaber.
hat mal spass gemacht, als sich die leute hier noch unterhalten oder brauchbare erfahrungsberichte gepostet haben. mittlerweile lese ich die kommentare nur noch sehr selten.
ich lese nachrichten, um mich zu entspannen. auch wenn dich und headroom dies anspornen mag, aber bei euren kommentaren geht mir regelmäßig das messer in der tasche auf. wie gesagt, nur noch nervig.
liebes pro-linux team, überarbeitet bitte euer kommentar-system; so kann das doch nicht weiter gehen...
Schade, dass die zeiten, wo man anderen Leuten Netscape bzw. Mozilla als sichere Alternative empfehlen konnte, vorbei sind.
Neben dem, was schon weiter oben steht, ist auch ganz interessant, dass der Hinweis auf die Sicherheitslücken an allerletzter Stelle der Auflistung der Änderungen der Beta steht.
Da gilt mal wider: Wo gerade die Marketingmaschinerie der Mozilla Foundation auf hochtouren läuft, passen Sicherheitsprobleme nun mal gar nicht in's Konzept.
Da gefällt mir schon sehr viel besser, wie andere Emailprogramme mit dem Thema Sicherheit umgehen.
Von Linux Admin am Di, 13. September 2005 um 09:23 #
z.B. Kmail: Keine einzige Sicherheitslücke in den letzten Jahren(!), obwohl es eines der verbreitetsten Email-Programme und das Standardprogramm des verbreitetsten Linux-Desktops ist.
Dank des sicheren Designs und der sauberen Codebasis wurde es ja auch vom BSI gefördert.
Dummlaberer! Umso mehr ein Programm in den Fokus von Anwendern gerät aufgrund deren Popularität, umso mehr Leute beschäftigen sich auch mit der Sicherheit des Produktes. Wenn nur 5 Leute das ganze benutzen würden, wäre bis jetzt keine Sicherheitslücke gefunden worden!
entscheidend ist allein, was tatsächlich passiert. Nicht was aufgrund beseitigter Sicherheitslücken vorher hätte passieren können Und da kenne ich bislang keinen thunderbird-Wurm.
Ich hab erst diese Woche jemanden Firefox installiert, weil sich mein Kunde Spyware über den IE einegfangen hat durch installation eines vermeindlich harmlosen ActiveX Plugins.
Ich hatte noch keinen Kunden, der sich was mit Firefox oder Mozilla eingefangen hat, jedoch schon ein paar, die sich durch den IE was eingefangen haben, von daher empfehle ich immer noch Firefox, selbst wenn da auch Lücken vorkommen, so sind sie meist nicht so gravierend.
Wenn man sich die Zeitspanne für Fixes ansieht so steht Mozilla/Firefox immer noch besser da. Darüberhinaus finde ich den Firefox mittlerweile einfach funktionaler.
> von daher empfehle ich immer noch Firefox, selbst wenn da auch > Lücken vorkommen, so sind sie meist nicht so gravierend.
Blödsinn, die letzen Firefox Versionen hatten alle Sicherheitslücken gehabt, durch die sich bel. Code zur Ausführung bringen lassen konnte.
Siehe dazu http://www.mozilla.org/projects/security/known-vulnerabilities.html
Toll finde ich auch, dass es auf der Firefox keinen Hinweis auf die ungepatchten, aber bekannten Sicherheitslücken gibt, und der Firefox 1.0.6 immer noch als angeblich "sicherer" Browser zum Downlaod angeboten wird. Unverständlich. Die lassen also ihre Kunden wider besseren Wissens einen verwundbaren Firefox herunterladen...
>>Blödsinn, die letzen Firefox Versionen hatten alle Sicherheitslücken gehabt, durch die sich bel. Code zur Ausführung bringen lassen konnte.
Hast du Beispiele, evtl Exploits, Spyware etc. die das auch ausnutzen?
Es gibt massig Löcher etc. in Software und viele werden nie gefunden werden, aber sind die interessant? Interessant sind die Sachen mit denen der User täglich konfrontiert ist.
Du könntest auch hergehen und sagen, ich emfpehle kein *nix mehr, weil man da auch anfällig für Viren ist, theoretisch auch kein Problem, aber praktisch nicht relevant.
> Interessant sind die Sachen mit denen der User täglich konfrontiert ist. Dann reicht es ja, wenn ein Exploit nur sonntags genutzt wird, dass du keinen Fix für diese Sicherheitslücke erwartest.
Muss denn erst das Kind in den Brunnen fallen, ehe man einen Fix anbietet? Selbst MS hatte die Patches für Blaster und Co. bereits vor der Epidemie angeboten. Hat natürlich nicht viel gebracht, weil die meisten Windows-User Microsoft misstrauen und keine Updates einspielen.
> und eigentlich wollte ich nie wieder einen lesen (ist einfach sinlos).
Genau! Produkten der Mozilla Foundation sind per Definition sicher und es dürfen nur positive Nachrichten und Kommentare verfasst werden. Wenn jemand den Umgang mit Sicherheitsproblemen der Mozilla Foundation kritisiert, dann wird derjenige gerne mal, wie man weiter oben sieht, pers. angegriffen. *KOPFSCHÜTTEL*
Wird denn www.secunia.com massiv von Open Source gesponsort, oder warum schneiden Mozilla-Produkte im Vergleich zum Marktführer in puncto Sicherheit fast immer besser ab?
> Wird denn www.secunia.com massiv von Open Source gesponsort, oder warum schneiden > Mozilla-Produkte im Vergleich zum Marktführer in puncto Sicherheit fast immer besser ab?
Tun sie nicht. im Jahr 2005 hat allein schon Secunia viel mehr Advisories für den Firefox herausgebracht, als für den IE. Aber auch wenn der Firefox besser als der IE wäre, heißt das ja noch lange nciht, dass das dann gut ist. Opera und Konqueror zeigen ja deutlich, wie ein sicherer Webbrowser auszusehen hat.
Das ist natürlich auch eine Möglichkeit zu formulieren, dass Sicherheitslücken gestopft wurden, die im derzeit stabilen Zweig offen sind, deren Bugzilla-Einträge gesperrt sind, für die es keine isolierten Patches gibt und die Distributoren somit nur schließen können, indem sie eine völlig neue Version mit neuen Features, neuen Elementen in der Oberfläche, neuen Bugs, neuen Standardeinstellungen, Inkompatibilität zu ausnahmslos allen Erweiterungen und einem insgesamt deutlich anderen Verhalten verteilen, sprich: Sicherheitsupdates mit minimalem Effekt, wie sie im Sinne von Stabilität und Kontinuität wünschenswert wären, gehen leider nicht.
Manchmal wünschte ich man müsste sich in diesem oder anderen Foren mit richtigen Namen registeren (hier muß man sich garnicht registrieren) und könnte keinen zweiten Account aufmachen. Dann würden diese Typen schneller weg sein als man glaubt.
> Beiträge schreibt und sich über seine eigene Dummheit
> amüsiert.
Du bezeichnest also Menschen, die die Bedenken der Debian-Sicherheitsexperten, Mozilla-Produkte genau deswegen aus der Debian-Distribution zu entfernen, inhaltsgetreu nacherzählen, als blöde Arschlöcher, die sich über ihre eigene Dummheit amüsieren. Wer sich dadurch provoziert fühlt, hat ein Problem.
Im Übrigen: Wer es wagt, Missstände in Mozilla-Produkten zu benennen, der muss unbedingt mit Schimpfworten belegt und in aller Deutlichkeit in die Schranken verwiesen werden! Nur so kann der gute Ruf der Mozilla-Produkte erhalten werden und OSS zum Erfolg gebracht werden! Mozilla hat keine Missstände.
> Manchmal wünschte ich man müsste sich in diesem oder
> anderen Foren mit richtigen Namen registeren
Das ist ein hervorragender Vorschlag. Sei aber vorsichtig, es könnte passieren, dass er als unfrei durchfällt.
> und könnte keinen zweiten Account aufmachen.
Weshalb sollte hier irgendwer einen zweiten Account aufmachen wollen?
> Dann würden diese Typen schneller weg sein als man glaubt.
Diese Aussage verstehe ich nicht.
Dnd was dich angeht so verdrehst du die Meldungen wie es dir gerade passt.
Die "Sicherheitsverbesserungen" ist ein Phishingschutz, der die Leute warnt, wenn sie auf eine URL klicken die nicht das ist was sie zu sein scheint. Das hat nichts mit Bugfixes zu tun.
Und zu jedem Thema postet du hier deinen Müll rein als wärst du der Weise vom Himalaya und erzählst nur Blödsinn.
Ach ja und was ich gemeint habe mit "Dann würden diese Typen schneller weg sein als man glaubt" ist, daß Trolle wie du sich nur in dem Schutz der Anonymität wohl fühlen und ich bin mir verdammt sicher, daß du bei heise.de mehrere Accounts hast und dort genauso rumtrollst.
> es keine separaten Patches gibt. Von "nicht öffentlichen"
> Bugzilla Einträgen haben die garnichts gesagt.
Das ist beides genau dasselbe, die Patches stehen nämlich in den Bugzilla-Einträgen als Dateianhänge.
> Dnd was dich angeht so verdrehst du die Meldungen wie es
> dir gerade passt.
Nein, das tun andere.
> Die "Sicherheitsverbesserungen" ist ein Phishingschutz,
> der die Leute warnt, wenn sie auf eine URL klicken die
> nicht das ist was sie zu sein scheint. Das hat nichts
> mit Bugfixes zu tun.
Das stimmt nicht. Die Links zu den sieben Gecko-Sicherheitslücken, die in den letzten zehn Tagen im Beta-Branch, nicht aber im stabilen Zweig gepatcht wurden, nenne ich jetzt allerdings nicht erneut.
Der IDN-Bug in Firefox ist so ein Beispiel dafür: Drei Tage vor der Beta gemeldet, nicht gepatcht, stattdessen Bugzilla dichtgemacht, Beta in Kenntnis dieses Umstands einfach trotzdem freigegeben in der Hoffnung, dass es keiner merkt, nach der Veröffentlichung durch einen Dritten mit heruntergelassener Hose dagestanden. So läuft das bei allen Gecko-Sicherheitslücken. Ja, ich weiß, dass Thunderbird von diesem Beispiel betroffen ist. Nein, bei Thunderbird-Lücken läuft es nicht anders und bei Gecko-Lücken, von denen alle Mozilla-Produkte betroffen sind, ebenfalls nicht.
> Und zu jedem Thema postet du hier deinen Müll rein
> als wärst du der Weise vom Himalaya und erzählst nur
> Blödsinn.
Du möchtest mich also weiterhin persönlich angreifen und die 1:1-Wiedergabe der Aussagen renommierter Leute als Blödsinn darstellen.
> Ach ja und was ich gemeint habe mit "Dann würden diese
> Typen schneller weg sein als man glaubt" ist, daß Trolle
> wie du sich nur in dem Schutz der Anonymität wohl fühlen
> und ich bin mir verdammt sicher, daß du bei heise.de
> mehrere Accounts hast und dort genauso rumtrollst.
Siehst Du, so sicher kann man sich sein und trotzdem falsch liegen. Bei heise.de war ich nämlich nie angemeldet, weil dieses Paradies der sicherheitslückenabstreitenden, bei jeder Gelegenheit in hirnverbrannter Weise gegen "M$" bashenden und die eigene kleine Miniwelt rot- und grünklickenden Linuxtrolle nicht zu ertragen ist.
Genauso sicher bist Du Dir in Deinem Glauben, dass meine Darstellung der Mozilla-Probleme falsch ist, und genauso daneben liegst Du auch damit. Manche Leute können einfach nicht ohne wiederholte persönliche Angriffe auskommen. Zum Glück sind sie daran so schnell zu erkennen. Einen verdammt schlechten und peinlichen Eindruck machen sie aber trotzdem.
>> als wärst du der Weise vom Himalaya und erzählst nur
>> Blödsinn.
> Du möchtest mich also weiterhin persönlich angreifen und die 1:1-Wiedergabe der Aussagen renommierter Leute als Blödsinn darstellen.
Das du nicht dazugeschrieben hast, daß du jemanden zitisiert hast du diese Aussage als deine eigene angenommen.
Ach so nebenbei. Der IDN Bug ist bereits im Nightly gepatcht und den Patch kann man sich sogar aus dem Bugzilla holen. Na sowas aber auch.
> zitisiert hast du diese Aussage als deine eigene
> angenommen.
Diese Aussage verstehe ich nicht.
> Ach so nebenbei. Der IDN Bug ist bereits im Nightly
> gepatcht und den Patch kann man sich sogar aus dem
> Bugzilla holen.
1. Benutzer sollen keine Nightly Builds verwenden
2. Der Bug war schon mal als "FIXED" geschlossen und wurde dann wieder "REOPENED", weil der Patch nicht OK war. Ich rede hier nicht von dem XPI-Workaround, der wurde nie als Fix bezeichnet und ist auch keiner, sondern von dem eigentlichen Patch, bei dem man sich jetzt fragen kann, ob er so langsam seine endgültige Gestalt annehmen wird.
3. Ich benutze genau so einen Nightly Build. Du kannśt gerne darauf verzichten, mich in dieser Sache aufzuklären.
4. Die Lücke ist selbstverständlich nicht behoben, die aktuell an Benutzer gerichtete Version ist nämlich die 1.0.6 und die aktuell an interessierte Leute gerichtete Version ist die 1.5 Beta 1. Für beide gibt es nur einen zweifelhaften Workaround, der übrigens auch, nachdem er schon mal veröffentlicht war, geändert wurde, weil das erste XPI unter Linux falsche Berechtigungen setzte (400), so dass der Patch gar nicht funktionierte.
> Na sowas aber auch.
Halten wir einfach fest: Wer zur Zeit eine an Benutzer gerichtete Version der bekannten Mozilla-Produkte verwendet, der benutzt einen Browser, dessen Hersteller weiß, dass und wo er verwundbar ist und wie die Verwundbarkeit auszunutzen ist. Das ist an und für sich in Ordnung, weil die Verzögerung wegen der Qualitätssicherung notwendig ist. Genau dies macht auch der Hersteller bekannter Softwareprodukte unter dem Namen "Patch Day" und erntet dafür monatlich hirnverbrannte Trollparaden aus dem bekannten Lager, obwohl es das einzig richtige ist und vom Mozilla-Projekt genauso gemacht wird. Na sowas aber auch.
Darum ging es im Wesentlichen: Dass Mozilla, beispielhaft für eine Menge bekannter OSS-Produkte, NICHT anders verfährt als bekannte andere Softwarehersteller, dass es bei beiden genau richtig ist und dass bitte, bitte die peinliche, nervige und überflüssige Preisung bestimmter und Verunglimpfung anderer Produkte aufhören soll, damit man diese Plattform hier endlich mal wieder ernst nehmen kann.
Und was den Patchday angeht, so ist dieser nicht das einzig richtige sondern eigentlich unverantwortlich. MS bringt z.B. zum nächsten Patchday einen Patch für eine kritische Lücke nicht. Da kann man dann 4 Wochen warten bis der Patch kommt.
Es kam im übrigen auch schon vor, daß Exploits gab, bei denen die Lücke noch nicht mal bekannt war. Wenn MS dann sagt "da müssen sie bis zum nächsten Patchday warten", dann ist das purer Hohn.
https://bugzilla.mozilla.org/show_bug.cgi?id=307259
Das nennt man Softwaremanagement, schon mal was davon gehört?
Es gibt nen Release Plan, der sollte nach Möglichkeit auch eingehalten werden, es sei denn es sind gravierende Probleme vorhanden, die ein Release absolut in Frage stellen, in dem Case wohl überhaupt nicht der Fall, denn es geht hier um eine Firefox Version die ja noch nicht mal Stable ist.
Wenn du deine lieben Debian Maintainer zitierst, dann kann ich dir nur sagen, Debian ist ein Verein von Leuten, denen Termine etc egal sind. Release Termince etc. kennen die doch gar nicht, also gebe ich den Aussagen von Debian Leuten nicht allzuviel Bedeutung:-)
Ich will hier Debian nicht schlecht machen, aber die hätten genug Probleme in den eigenen Reihen, die sie zuerst mal in Angriff nehmen sollten.
Was den Rest deines Gertolles angeht von wegen Änderungen Firefox 1.5 zu 1.0 kann ich nur sagen, guck die IE 6 zu 7 an, grundlegende Verbesserungen benötigen nunmal Änderungen die auch Inkompatibilitäten schaffen, war bei SP2 auch nicht anders, sowas ist zwar ncht schön aber oft notwendig, man kann auch Jahre lang weiter frickeln, so wie man es ja beim IE auch gemacht hat oder gleich Nägel mit Köpfen machen.
Ja, und zwar im Zusammenhang mit den sog. "Patch Days" eines großen Softwareherstellers, da ist es aber schlecht, obwohl es genau dasselbe ist, wie ich gerade erfahren habe.
> Was den Rest deines Gertolles angeht [...]
Tja, manche Leute kommen halt nicht ohne persönliche Angriffe aus, schade, aber so ist das halt, wenn man es wagt zu blasphemieren.
Was ist schlecht daran, keine Patches mehr für den alten Firefox herauszubringen und sich nur noch auf den neuen zu konzentrieren?
Der neue ist schneller sicherer und hat noch mehr Komfort, warum sollte man also den Linux Distributionen den nicht aufs Auge drücken, so dass die den alten rausschmeißen und den neuen im Zuge eines Updates bringen. Für mich spricht da nix dagegen.
Klar muss voehr sichergestellt sein, dass danach auch die Extensions wieder funktionieren, dafür gibts die Beta Tests etc. damit die Extensions angepasst werden können, es gibt auch schon Entwickler, die haben schon längst support für den neuen drin, z.B. Download Statusbar, der hatte schon vor Wochen eine Extension, die mit dem 1er sowie nightly lief.
Wenn man natürlich Extensions einsetzen will, die nicht mehr gewartet bzw Supported werden, dann muss man sich fragen, ob diese Extensions wirklich nötig sind bzw. zu empfehlen, ich setze jedenfalls nirgends Software ein, die nicht mehr aktiv gewartet wird und man auf Updates hoffen kann.
Ich verstehe das Problem nicht, bei alter Microsoft Software bekommst du doch auch keinen Support bzw Patches mehr.
Wenn die Debianer auch in 2010 noch Patches für den 1.0er bringen wollen, dann sollen sie sie doch selbst schreiben oder den Browser rausnehmen.
Bingo. Man hat ja bei Thunderbird gesehen, dass Enigmail nach dem Update nicht mehr funktioniert hat.
> Ich verstehe das Problem nicht, bei alter Microsoft Software bekommst du doch auch keinen Support bzw Patches mehr.
Der Standard-Support für Windows 2000 lief erst im Juni 2005 aus. Nach Mozilla-Manier hätte MS den schon am Erscheinungstag von Windows XP auslaufen lassen sollen.
Nur blöd, dass das SUSE Security Team ähnlicher Meinung ist: http://www.advogato.org/person/Marcus/diary.html?start=78
Ein Update von Mozilla bzw. Firefox kann nämlich auch ein Update von Epiphany oder Galeon erzwingen, welches wiederum ein Update von Gtk+ erzwingt, was wiederum libcairo benötigt, ...
Am Ende muss die halbe Distribution ausgetauscht werden und das nur für die Mozilla-Jungs.
Jahr die vertuschende Haltung bzg. Sicherheitsproblemen des
Mozilla-Teams kritisiert.
So ein Unsinn, die nutzen doch alle nur die Rendering Engine und dort ändert sich ja API mäßig kaum was und wenn sie sie schon nutzen, dann sollen die eben passende Updates rausbringen, die nicht ein upgrade der halben distri nach sich ziehen
"auch ein Update von Epiphany oder Galeon erzwingen, welches wiederum ein Update von Gtk+ erzwingt"
Ja und wessen Problem ist das dann, doch nicht das von Mozilla, das haben dann die Leute verbockt, die Epiphany oder Galeon programmieren und die sollen froh sein, wenn sie ne rendering engine nutzen können.
"Am Ende muss die halbe Distribution ausgetauscht werden und das nur für die Mozilla-Jungs."
Tja Mozilla muss aber gucken, dass sie den neuen Browser puschen, der IE 7 steht vor der Tür und es werden sich wieder viele User fragen, IE oder FF:-)
Außerdem, wem es nicht passt, wie Mozilla momentan vorgeht, der kann sich ja dort gerne als Entwickler vorstellen um den backports einzubauen, ich jedenfalls hätte keine Lust am Mozilla Code rumzuschrauben, der ist genauso veraltet wie der Code des IE.
Außerdem gibts ja auch KHTML.
Demnach hätten die Galeon-Entwickler wohl auf ewig bei Gtk+ 1.2 bleiben sollen.
Es geht hier aber um Sicherheitslücken und die sollten so gefixt werden, dass man nicht die halbe Distribution aktualisieren muss. Und nicht Epiphany hat Sicherheitslücken, sondern Gecko. Wenn Epiphany, also das Gecko-Frontend ne Sicherheitslücke hat, dann wird auch ein Patch herausgegeben, den die Security-Teams einpflegen können.
> Ja und wessen Problem ist das dann, doch nicht das von Mozilla, das haben dann die Leute verbockt, die Epiphany oder Galeon programmieren und die sollen froh sein, wenn sie ne rendering engine nutzen können.
Nein, die Mozilla-Jungs brauchen einfach nur das API der libgtkembedoz.so und einiger weiterer Libs stabil zu halten. Aber das ist ja wohl zuviel verlangt. Wie wärs, wenn der Linuxkernel mal POSIX über den Haufen wirft?
> Tja Mozilla muss aber gucken, dass sie den neuen Browser puschen, der IE 7 steht vor der Tür und es werden sich wieder viele User fragen, IE oder FF:-)
Oder anders ausgedrückt: Die Mozilla Foundation interessiert nur eines: Ein hoher Marktanteil unter Windows. Dass dabei andere Plattformen sowie von ihnen abhängige Projekte auf der Strecke bleiben, ist denen völlig egal.
Die Plugin/Extension-Entwickler freuen sich auch tierisch, dass sie alle paar Wochen ein Update ihrer Software herausbringen müssen.
> Außerdem gibts ja auch KHTML.
Zum Glück.
Der IDN-Bug in Firefox ist so ein Beispiel dafür: Drei Tage vor der Beta gemeldet, nicht gepatcht, stattdessen Bugzilla dichtgemacht, Beta in Kenntnis dieses Umstands einfach trotzdem freigegeben in der Hoffnung, dass es keiner merkt, nach der Veröffentlichung durch einen Dritten mit heruntergelassener Hose dagestanden. So läuft das bei allen Gecko-Sicherheitslücken. Ja, ich weiß, dass Thunderbird von diesem Beispiel betroffen ist. Nein, bei Thunderbird-Lücken läuft es nicht anders und bei Gecko-Lücken, von denen alle Mozilla-Produkte betroffen sind, ebenfalls nicht.
Wie Du schreibst, es ist beta! Software, also warum sollten Sie diese zurückhalten?
MfG Oliver
Ich kann mich des Eindrucks nicht erwehren, das hier gezielt von G.W. FUD gestreut wird.
Von wem wirst Du dafür bezahlt?
Du bezeichnest es also als "Nörgeln", die Bedenken der Debian-Sicherheitsexperten, die wegen genau dieser Bedenken bereits darüber nachgedacht haben, Mozilla-Produkte aus der Debian-Distribution zu entfernen, inhaltsgetreu nachzuerzählen.
Schönen Abend noch,
Archangelo
Das war keine WatschŽn sonder nur das Gerülpse eines Kretins (RipClaw)!
Und was diesen A.F. anbetrifft, ist das nur die übliche blöde Frage aus der Community: "Was willst Du denn hier, wenn Du Linux kritisierst?".
Wenn er über Win herziehen würde, dann würden diese Typen kreischen vor Vergnügen!
> Das war keine WatschŽn sonder nur das Gerülpse eines Kretins (RipClaw)!
Wer andere als Kretins bezeichnet ist ein aroganter Snob und damit nicht viel besser.
Du kritisierst Ständig an allen Ecken und Enden Linux und OpenSource, aber bringst nie was konstruktives.
Hast du auch nur einmal daran gedacht, daß die Leute sehr viel Zeit und Arbeit in die Softare gesteckt haben und auch entsprechend Anerkennung verdienen ? Nein, natürlich nicht, denn sowas ist ja für dich selbstverständlich. Das finde ich erbärmlich.
> sehr viel Zeit und Arbeit in die Softare gesteckt haben
> und auch entsprechend Anerkennung verdienen ?
Niemand will Leute persönlich demotivieren oder demoralisieren! Es geht nur darum, dass Dinge, die einfach grottenschief laufen, zumindest meiner Meinung nach kein übertriebenes Maß an Anerkennung verdienen. Als Ganzes anerkenne ich die Arbeit der Entwickler sehr wohl! Ich hätte nicht gedacht, dass man das extra dazusagen muss.
P.B.
> die wegen genau dieser Bedenken bereits darüber nachgedacht haben, Mozilla-Produkte
> aus der Debian-Distribution zu entfernen, inhaltsgetreu nachzuerzählen.
Die Politik der Mozilla Organistation ist eine Sache (ich finds auch nicht gut). Was Du aber hier mittlerweile betreibst, ist aber langsam nervtötend. Sicher haben viele Projekte die einen oder anderen Probleme. Du scheinst es aber als Deine Aufgabe zu sehen, diese hier jedesmal anzusprechen (dazu oftmals übertrieben), auch wenn das Thema manchmal schon totgeschrieben wurde. Einen zum Thema positiven Kommentar habe ich jedenfalls nicht in Erinnerung.
Du hälst es also für falsch Probleme anzusprechen? Heist es nicht immer aus der Community, daß genau dies die Politik von Microsoft sei - und jetzt soll diese Politik für Linux/OpenSource gutgeheißen werden, oder was?
Sagen wir es doch offen, Kritik an Linux/OpenSource ist unerwünscht!
Es darf vielleicht so ein bißchen rumgekritelt werden, aber tiefergehende Kritik am Götzen Linux/OpenSource ist ungehörig, ja, geradezu Hochverrat!
Hey Leutz, wie wäre es jetzt mit so einem richtig affengeilen M$ Bashing? :)))
> Du hälst es also für falsch Probleme anzusprechen? Heist es nicht immer aus der Community, daß genau dies die Politik von Microsoft sei - und
> jetzt soll diese Politik für Linux/OpenSource gutgeheißen werden, oder was?
Rumnörgeln ist die eine Sache aber konstruktive Kritik ist was ganz anderes. Sich einbringen und mal gegen das was zu tun was man anprangert ist die andere. Bei OpenSource hat man diese Möglichkeit aber es wird nur gemeckert, und gemeckert.
Und die Leute die die Probleme nicht so eng sehen sind euerer geschätzen Meinung nach ja wohl Betriebsblind.
Debian bringt z.B. 3 Wochen keine Sicherheitsupdates. Sofort wird lauthalt rumgebrüllt, daß Debian unsicher ist und was das alles für eine mistige Organisation ist. Aber hat sich von den ganzen Nörglern überhaupt auch nur ein einziger dazu bereiterklärt zu Helfen das Sicherheitsteam zu verstärken ?
Zudem ist bei vielen Leuten eine Erwartungshaltung vorhanden die nicht auszuhalten ist. In ihrer Arroganten Art und Weise gehen diese Leute davon aus, daß die Entwickler ihnen gegenüber eine Verpflichtung hätten.
> man anprangert ist die andere. Bei OpenSource hat
> man diese Möglichkeit aber es wird nur gemeckert,
> und gemeckert.
Genau. Ist ja OpenSource, kann ja jeder selber patchen. Nur bringt das leider nichts, wenn im nächsten Moment ein peinlicher Fanboy ankommt und verkündet, dass das alles so super geil ist, weil 5-5000000 Leute sich schon darum kümmern.
Dies ist kein Scherz, insbesondere die Zahl von 5-5000000 nicht. Das ist gestern erst verkündet worden.
> Debian bringt z.B. 3 Wochen keine Sicherheitsupdates.
> Sofort wird lauthalt rumgebrüllt, daß Debian unsicher
> ist und was das alles für eine mistige Organisation ist.
Wie nennst Du es denn bitte, wenn 3 Wochen lang keine Updates für vorhandene Lücken kommen? Welchen Euphemismus soll man sich dafür ausdenken?
> Aber hat sich von den ganzen Nörglern überhaupt auch nur
> ein einziger dazu bereiterklärt zu Helfen das
> Sicherheitsteam zu verstärken ?
Ich höre immer nur, dass Debian nicht nur reif für den Unternehmenseinsatz, sondern sogar das Beste dafür wäre, weil es so unglaublich sicher und DEB besser als RPM sei und außerdem noch das GNU-Etikett draufsteht, welches viele Herzen höher schlagen lässt.
Ja was denn jetzt? Ist es jetzt reif für den Unternehmenseinsatz, dazu gehört auch eine professionelle und gesicherte(!) Updatepolitik von Zuverlässigkeit, oder ist es das nicht und man darf sich das "Mach's doch selbst, ist doch OpenSource"-Totschlagargument anhören? Irgendwann muss man sich auch mal entscheiden.
> Zudem ist bei vielen Leuten eine Erwartungshaltung
> vorhanden die nicht auszuhalten ist.
Jetzt streng Dich mal ganz doll an und rate, von wem diese Erwartungshaltung geweckt wurde.
Übrigens: Bei kommerzieller Software ist diese Erwartungshaltung sogar berechtigt, vielleicht liegt es einfach daran, dass die genannten Produkte zu oft als 1:1-Entsprechung oder sogar rundum überlegene Versprechung für kommerzielle Software angepriesen wurden, was sie ja dem, was Du jetzt sagst, zufolge nicht sind.
Mit anderen Worten: Ich will genau dasselbe erreichen wie Du, aber von einer anderen Seite.
> In ihrer Arroganten Art und Weise gehen diese Leute
> davon aus, daß die Entwickler ihnen gegenüber eine
> Verpflichtung hätten.
Dann mach mit und treib es den Fanboys aus, ständig Erwartungen zu wecken, die nicht zu halten sind.
Und was die Updatepolitik von Debian und diesen 3 Wochen Aussetzer angeht, so war das ein einmaliger Ausrutscher aber diverse Firmen haben Updatepausen von Monaten (z.B. Oracle patcht nur alle 4 Monate). Und die Software wird komischerweise massenhaft in Unternehmen eingesetzt. Und da hast du nicht mal die Wahl. Da bist du auf Teufel komm raus auf das entsprechende Unternehmen angewiesen.
Man muß sich übrigens nicht mal auf Debian verlassen. Man kann auch ein Unternehmen dafür bezahlen auf die Sicherheit zu achten, und die Leute dieses Unternehmens können die Patches vornehmen.
Ach ja, die Erwartungshaltung kommt bei vielen Leuten von ganz alleine. Da diese sich mit Halbwissen und Hörensagen sich ihr eigenes falsches Bild machen. Ich kenne das zur Genüge. Ich erlebe es tagtäglich.
Das hat auch keiner behauptet.
> Ich sehe OpenSource durchaus nüchtern aber ständig nur gemotze
> zu hören ist schlicht und ergreifend auf die Nerven.
Ständig nur "ist alles nicht so schlimm, schließlich geht es hier um ein Problem in einer OpenSource-Software" zu hören, geht auch irgendwann auf die Nerven.
> Vor allem wenn Leute wie du meinen sie müssten alles mies machen.
Ich habe doch genauestens erklärt, was ich bezwecke.
> Ach ja, die Erwartungshaltung kommt bei vielen Leuten von
> ganz alleine.
Sicher?
> Da diese sich mit Halbwissen und Hörensagen sich ihr eigenes
> falsches Bild machen.
Das, nämlich Leute, die sich mit Halbwissen und Hörensagen ein falsches Bild machen, gibt es leider tatsächlich zur Genüge.
Es ist OK, es so zu sehen, schließlich sehe ich gewisse Dinge, die einfach nur peinlich sind und nerven, ganz genauso.
> Du scheinst es aber als Deine Aufgabe zu sehen, diese
> hier jedesmal anzusprechen (dazu oftmals übertrieben),
> auch wenn das Thema manchmal schon totgeschrieben wurde.
Das nehme ich gerne an, zumal ich heute schon jemand anderen wegen regelwidriger Crosspostings kritisiert habe. Danke für die berechtigte Kritik.
Allerdings ist mir wirklich daran gelegen, Mozilla-Produkten den Heiligenschein zu nehmen, weil es einfach besser so ist. In zahlreichen Foren nehme ich nämlich zur Zeit sehr stark wahr, dass die Benutzer dieser Produkte zum Teil sehr enttäuscht sind, weil diverse Fanboys, die mit ihrer Arroganz mal wieder übertrieben haben, Erwartungen geweckt haben, die nicht zu erfüllen sind. Insofern gebe ich gerne zu, dass ich genau diesen Leuten durchaus ein wenig den Spaß verderben wollte, damit sie endlich mal einsehen, dass sie es mit der "Mozilla ist ja so unglaublich sicher"-Verkündung nicht übertreiben sollen, weil das allen Beteiligten nur schadet!
> Einen zum Thema positiven Kommentar habe ich
> jedenfalls nicht in Erinnerung.
Dann liest Du entweder selektiv oder zu wenig.
Das sei dir ja unbenommen, nur leider machst du mit der Art wie du dies machst diese Seite völlig unbrauchbar. Du magst es ja naiv finden, aber ich wollte mir die Kommentare zu dem Thema gerade ansehen in der Hoffnung, etwas Interessantes zu finden und was finde ich mal wieder?
Einen von dir ausgelösten Flamewar, inklusiven dümmlichster persönlicher Beleidigungen von allen Seiten.
Das muss man doch auch anders machen können, oder nicht?
Deshalb meine Frage, ob es nicht vielleicht möglich wäre, seine Meinung auf eine Art und Weise zu äussern, die eben nicht automatisch zu solchen Auswüchsen führt und die Seite völlig unbrauchbar für normale Kommunikation machen.
Ganz allgemein könnte der Umgangston hier allerdings durchaus besser sein.
Mir ist einfach nur der Kragen geplatzt.
Da kommt eine Meldung über Mozilla Thunderbird und den Neuerungen des Releases und die erste Reaktion ist Nörgelei von einem Forumsbekannten Troll der immer nur provozieren will. Kann der sich nicht eine Sekunde zurückhalten und wenigens sich mal abwarten ob ein paar gute Beiträge kommen. Nein der muß ja sofort mit seiner "heiligen Mission" anfangen.
Er hat ja selber geschrieben, daß seine Absicht ist: [Zitat]Allerdings ist mir wirklich daran gelegen, Mozilla-Produkten den Heiligenschein zu nehmen, weil es einfach besser so ist.[/Zitat]
> Neuerungen des Releases und die erste Reaktion ist Nörgelei
> von einem Forumsbekannten Troll der immer nur provozieren will.
Du möchtest mit den persönlichen Angriffen in Form des Tr-Wortes also nicht aufhören und nicht anhören, dass ich mitnichten nur provozieren, sondern etwas bestimmtes erreichen möchte. Das ist sehr Schade und macht jedes weitere Gespräch überflüssig.
> Kann der sich nicht eine Sekunde zurückhalten und wenigens
> sich mal abwarten ob ein paar gute Beiträge kommen.
Das, mein lieber, entscheide ich ganz alleine. Dies hier ist ein offenes Forum. Würde der Betreiber nicht wollen, dass bestimmte Leute den ersten Beitrag schreiben, dann könnte er das einfachst technisch verhindern. Tut er aber nicht. Kann es sein, dass Du dazu neigst, lieber nicht hören zu wollen, was Dir in den Kram passt?
> wie du dies machst diese Seite völlig unbrauchbar.
Ach weißt Du, ganz so wichtig sehe ich selbst meine Person nicht. Ich halte das für eine maßlose Übertreibung.
Aber wenn das das Niveau ist, auf dem du dich gerne weiterunterhalten willst, dann bitte. Anscheinend habe ich dich leider überschätzt.
Ansonsten: Einfach seinen beitrag nochmal lesen und über den einen oder anderen Grammatikfehler hinwegsehen.
hat mal spass gemacht, als sich die leute hier noch unterhalten oder brauchbare erfahrungsberichte gepostet haben. mittlerweile lese ich die kommentare nur noch sehr selten.
ich lese nachrichten, um mich zu entspannen. auch wenn dich und headroom dies anspornen mag, aber bei euren kommentaren geht mir regelmäßig das messer in der tasche auf. wie gesagt, nur noch nervig.
liebes pro-linux team, überarbeitet bitte euer kommentar-system; so kann das doch nicht weiter gehen...
Neben dem, was schon weiter oben steht, ist auch ganz interessant, dass der Hinweis auf die Sicherheitslücken an allerletzter Stelle der Auflistung der Änderungen der Beta steht.
Da gilt mal wider: Wo gerade die Marketingmaschinerie der Mozilla Foundation auf hochtouren läuft, passen Sicherheitsprobleme nun mal gar nicht in's Konzept.
Da gefällt mir schon sehr viel besser, wie andere Emailprogramme mit dem Thema Sicherheit umgehen.
Und welche Programme sind das ? Würde mich mal interessieren.
Dank des sicheren Designs und der sauberen Codebasis wurde es ja auch vom BSI gefördert.
Zur Sicherheit: http://kmail.kde.org/security.html
Auch Mutt sei in diesem Zusammenhang erwähnt.
Ich hatte noch keinen Kunden, der sich was mit Firefox oder Mozilla eingefangen hat, jedoch schon ein paar, die sich durch den IE was eingefangen haben, von daher empfehle ich immer noch Firefox, selbst wenn da auch Lücken vorkommen, so sind sie meist nicht so gravierend.
Wenn man sich die Zeitspanne für Fixes ansieht so steht Mozilla/Firefox immer noch besser da.
Darüberhinaus finde ich den Firefox mittlerweile einfach funktionaler.
> Lücken vorkommen, so sind sie meist nicht so gravierend.
Blödsinn, die letzen Firefox Versionen hatten alle Sicherheitslücken gehabt, durch die sich bel. Code zur Ausführung bringen lassen konnte.
Siehe dazu http://www.mozilla.org/projects/security/known-vulnerabilities.html
Toll finde ich auch, dass es auf der Firefox keinen Hinweis auf die ungepatchten, aber bekannten Sicherheitslücken gibt, und der Firefox 1.0.6 immer noch als angeblich "sicherer" Browser zum Downlaod angeboten wird. Unverständlich.
Die lassen also ihre Kunden wider besseren Wissens einen verwundbaren Firefox herunterladen...
Hast du Beispiele, evtl Exploits, Spyware etc. die das auch ausnutzen?
Es gibt massig Löcher etc. in Software und viele werden nie gefunden werden, aber sind die interessant?
Interessant sind die Sachen mit denen der User täglich konfrontiert ist.
Du könntest auch hergehen und sagen, ich emfpehle kein *nix mehr, weil man da auch anfällig für Viren ist, theoretisch auch kein Problem, aber praktisch nicht relevant.
Dann reicht es ja, wenn ein Exploit nur sonntags genutzt wird, dass du keinen Fix für diese Sicherheitslücke erwartest.
Muss denn erst das Kind in den Brunnen fallen, ehe man einen Fix anbietet?
Selbst MS hatte die Patches für Blaster und Co. bereits vor der Epidemie angeboten.
Hat natürlich nicht viel gebracht, weil die meisten Windows-User Microsoft misstrauen und keine Updates einspielen.
Genau! Produkten der Mozilla Foundation sind per Definition sicher und es dürfen nur positive Nachrichten und Kommentare verfasst werden.
Wenn jemand den Umgang mit Sicherheitsproblemen der Mozilla Foundation kritisiert, dann wird derjenige gerne mal, wie man weiter oben sieht, pers. angegriffen. *KOPFSCHÜTTEL*
Mozilla-Produkte im Vergleich zum Marktführer in puncto Sicherheit fast immer besser ab?
z.B Thunderbird.:
http://secunia.com/product/4652/
http://secunia.com/product/3292/
oder Browser:
http://secunia.com/product/11/
http://secunia.com/product/4227/
und dazu noch mein Browser: ;)
http://secunia.com/product/4932/
> http://secunia.com/product/4932/
So sollte es sein.
> Mozilla-Produkte im Vergleich zum Marktführer in puncto Sicherheit fast immer besser ab?
Tun sie nicht. im Jahr 2005 hat allein schon Secunia viel mehr Advisories für den Firefox herausgebracht, als für den IE. Aber auch wenn der Firefox besser als der IE wäre, heißt das ja noch lange nciht, dass das dann gut ist. Opera und Konqueror zeigen ja deutlich, wie ein sicherer Webbrowser auszusehen hat.