Nichts gegen Seamonkey. Aber als Basis Firefox 60 ESR zu verwenden, heißt doch wohl, dass Seamonkey 2.53 keine aktuellen Firefox 68 ESR-Sicherheitsaktualisierungen enthält. Zuletzt gab es ja hier eine schwere Sicherheitslücke. Somit kann man Seamonkey z.B. nur ohne eingeschaltetes Javascript verwenden.
Ja nee, is klar, besonders "einfach" rückportiert.
Also obwohl ich großen, ressourcenstarken Linux-Distributionen im allgemeinen noch zutraue, Backports für wichtige Pakete zuverlässig vorzunehmen (z.B. Kernel, Basispakete), schwindet dieses Vertrauen in Bezug auf kleine Projekte und eher nicht essentielle Pakete zunehmend. Ich persönlich traue einem so kleinen Projekt wie Seamonkey nicht im geringsten zu, eine ganze Browser-Engine in all ihrer Komplexität zuverlässig zu warten. Und schon gar nicht "einfach" mal Backports zu machen, da sich die Basis immer weiter verändert. Mozilla selbst pflegt die ESR 60-Schiene nicht mehr. Damit wäre das Thema für mich durch. Aber muss ja jeder selber wissen.
Von Gnome-Nutzer am Di, 21. Januar 2020 um 13:26 #
"Ich persönlich traue einem so kleinen Projekt wie Seamonkey nicht im geringsten zu, eine ganze Browser-Engine in all ihrer Komplexität zuverlässig zu warten." Mircosoft hat genau da ein massives Problem mit ihrem Edge-Browser, weswegen der angeblich auf die Engine von Google-Chrome umgestellt werden soll. Nur weil der FF60ESR jetzt keine weitern Backports mehr bekommt, heißt das nicht, dass er nicht weiter gepflegt werden könnte, wenn man will. Der Seamonkey-Team vertraue ich ich da mehr als MS.
So einfach ist das leider nicht. Ich war auch immer großer Seamonkey Fan, aber wenn sich die Codebasis zu weit von einander entfernt, halte ich das nicht mehr für wartbar. Es ist auch ein offenes Geheimnis, dass es generell nicht funktioniert alle Sicherheitsrelevanten Patches zurück zu portieren. Das fängt schon damit an, dass auch Änderungen die nicht als sicherheitsrelewant deklariert sind, sich später als eben solche herausstellen können. Dann vergeht immer jede Menge Zeit bis überhaupt mal eine neue Version von Seamonkey herauskommt. In der Zwischenzeit läuft man ungeschützt.
Es darf natürlich jeder nutzen was er will, aber bei objektiver Betrachtung sind allein schon die Updatezyklen von Seamonkey Grund genug den Browser unter Sicherheitsgesichtspunkten nicht einzusetzen.
Ihr Vorkommentar sprach nicht über Microsoft, sondern vertritt eine Meinung absoluter Gestalt. Sie äußern hier lediglich Ihre Meinung mit einer qualitativ relativen Aussage.
Wenn A besser ist als B, was man noch inhaltlich belegen und prüfen sollte, wenn man das schon also Prämisse für ein Argument nutzt, heißt das noch lange nicht, dass A gut wäre.
Deshalb entkräftet Ihr Kommentar den Vorkommentar in keiner Weise. Sie schneiden diesen inhaltlich nur periphär an. Das wird übrigens bereits als trollen gewertet - nur so als Tipp.
"Desweiteren ist TLS 1.3 nun die Standardversion, und zu den CSS Grid-Werkzeugen kam ein Layout-Panel hinzu. Ferner wurden alle Sicherheitskorrekturen bis Firefox 70 übernommen."
Also, Seamonkey ist dahingehend recht aktuell und bis zur Release haben sie vielleicht auch noch die Sicherheitspatches von von FF72 drin. Also nix mit unsicher...
Djaxa
P.S.: Wichtige Sicherheitspatches sind bereits bis FF72 drin: "Additional important security fixes up to Current Firefox 72 and a few enhancements have been backported. We will continue to enhance SeaMonkey security in subsequent 2.53 beta and release versions as fast as we are able to. " https://www.seamonkey-project.org/releases/seamonkey2.53.1/
Dieser Beitrag wurde 2 mal editiert. Zuletzt am 21. Jan 2020 um 13:50.
Auf der Webseite steht folgender Abschnitt: "SeaMonkey 2.53.1 Beta 1 uses the same backend as Firefox and contains the relevant Firefox 60.3 security fixes.
SeaMonkey 2.53.1 Beta 1 shares most parts of the mail and news code with Thunderbird. Please read the Thunderbird 60.3 release notes for specific changes and security fixes in this release.
Additional important security fixes up to Current Firefox 72 and a few enhancements have been backported. We will continue to enhance SeaMonkey security in subsequent 2.53 beta and release versions as fast as we are able to."
Einmal Firefox 60.3 ESR-Sicherheitsniveau, einmal das von Firefox 72. Wenn das so stimmt, ist ein Backporten von Firefox 72-Fixes nach Firefox 60.3 der absolute Irrsinn. Selbst Red Hat hat diese Praxis, was Mozilla-Produkte anbelangt, aufgegeben.
Das kostet ja einen Haufen Entwicklungszeit, was die Seamonkey-Releases wohl stark verzögert. Offenbar wird nicht die aktuelle Firefox-ESR-Version zum direkten Anpassen von Seamonkey benutzt, wie Seamonkey dann versionsmäßig auch immer heißen würde.
Noch eine Bemerkung dazu: Ich nutze Seamonkey selbst, ohne Javascript (aktuell 2.49.5), einen aktuellen Firefox dann für javascriptlastige Seiten, wenn sich das einmal nicht umgehen lässt. Dazu manchmal Debians Falkon (ebenfalls ohne Javascript), dessen Browser-Engine in Debian aber generell keine Sicherheitspatches erhält.
Die Sicherheitsproblematik bei Webbrowsern ist ganz bestimmt nicht seamonkey-spezifisch.
Nichts gegen Seamonkey. Aber als Basis Firefox 60 ESR zu verwenden, heißt doch wohl, dass Seamonkey 2.53 keine aktuellen Firefox 68 ESR-Sicherheitsaktualisierungen enthält. Zuletzt gab es ja hier eine schwere Sicherheitslücke. Somit kann man Seamonkey z.B. nur ohne eingeschaltetes Javascript verwenden.
Bekannte Sicherheitspatches –sofern für Seamonkey 2.53 relevant– werden einfach von FF68ESR rückportiert (im Englischen nennt sich das Backports).
Ja nee, is klar, besonders "einfach" rückportiert.
Also obwohl ich großen, ressourcenstarken Linux-Distributionen im allgemeinen noch zutraue, Backports für wichtige Pakete zuverlässig vorzunehmen (z.B. Kernel, Basispakete), schwindet dieses Vertrauen in Bezug auf kleine Projekte und eher nicht essentielle Pakete zunehmend.
Ich persönlich traue einem so kleinen Projekt wie Seamonkey nicht im geringsten zu, eine ganze Browser-Engine in all ihrer Komplexität zuverlässig zu warten. Und schon gar nicht "einfach" mal Backports zu machen, da sich die Basis immer weiter verändert.
Mozilla selbst pflegt die ESR 60-Schiene nicht mehr. Damit wäre das Thema für mich durch. Aber muss ja jeder selber wissen.
"Ich persönlich traue einem so kleinen Projekt wie Seamonkey nicht im geringsten zu, eine ganze Browser-Engine in all ihrer Komplexität zuverlässig zu warten."
Mircosoft hat genau da ein massives Problem mit ihrem Edge-Browser, weswegen der angeblich auf die Engine von Google-Chrome umgestellt werden soll.
Nur weil der FF60ESR jetzt keine weitern Backports mehr bekommt, heißt das nicht, dass er nicht weiter gepflegt werden könnte, wenn man will. Der Seamonkey-Team vertraue ich ich da mehr als MS.
So einfach ist das leider nicht. Ich war auch immer großer Seamonkey Fan, aber wenn sich die Codebasis zu weit von einander entfernt, halte ich das nicht mehr für wartbar. Es ist auch ein offenes Geheimnis, dass es generell nicht funktioniert alle Sicherheitsrelevanten Patches zurück zu portieren. Das fängt schon damit an, dass auch Änderungen die nicht als sicherheitsrelewant deklariert sind, sich später als eben solche herausstellen können. Dann vergeht immer jede Menge Zeit bis überhaupt mal eine neue Version von Seamonkey herauskommt. In der Zwischenzeit läuft man ungeschützt.
Naja, was du "nicht mehr für wartbar" hältst und was Seamonkey mit v2.53.1 liefert sind zwei Welten. Oder gehörst du etwa zu den Codeentwicklern?
Es darf natürlich jeder nutzen was er will, aber bei objektiver Betrachtung sind allein schon die Updatezyklen von Seamonkey Grund genug den Browser unter Sicherheitsgesichtspunkten nicht einzusetzen.
Ihr Vorkommentar sprach nicht über Microsoft, sondern vertritt eine Meinung absoluter Gestalt. Sie äußern hier lediglich Ihre Meinung mit einer qualitativ relativen Aussage.
Wenn A besser ist als B, was man noch inhaltlich belegen und prüfen sollte, wenn man das schon also Prämisse für ein Argument nutzt, heißt das noch lange nicht, dass A gut wäre.
Deshalb entkräftet Ihr Kommentar den Vorkommentar in keiner Weise. Sie schneiden diesen inhaltlich nur periphär an. Das wird übrigens bereits als trollen gewertet - nur so als Tipp.
Na Hauptsache, du bist kein Troll.
> angeblich auf die Engine von Google-Chrome umgestellt werden soll
Wurde!
Text gelesen?:
"Desweiteren ist TLS 1.3 nun die Standardversion, und zu den CSS Grid-Werkzeugen kam ein Layout-Panel hinzu. Ferner wurden alle Sicherheitskorrekturen bis Firefox 70 übernommen."
Also, Seamonkey ist dahingehend recht aktuell und bis zur Release haben sie vielleicht auch noch die Sicherheitspatches von von FF72 drin.
Also nix mit unsicher...
Djaxa
P.S.:
Dieser Beitrag wurde 2 mal editiert. Zuletzt am 21. Jan 2020 um 13:50.Wichtige Sicherheitspatches sind bereits bis FF72 drin:
"Additional important security fixes up to Current Firefox 72 and a few enhancements have been backported. We will continue to enhance SeaMonkey security in subsequent 2.53 beta and release versions as fast as we are able to. "
https://www.seamonkey-project.org/releases/seamonkey2.53.1/
Auf der Webseite steht folgender Abschnitt:
"SeaMonkey 2.53.1 Beta 1 uses the same backend as Firefox and contains the relevant Firefox 60.3 security fixes.
SeaMonkey 2.53.1 Beta 1 shares most parts of the mail and news code with Thunderbird. Please read the Thunderbird 60.3 release notes for specific changes and security fixes in this release.
Additional important security fixes up to Current Firefox 72 and a few enhancements have been backported. We will continue to enhance SeaMonkey security in subsequent 2.53 beta and release versions as fast as we are able to."
Einmal Firefox 60.3 ESR-Sicherheitsniveau, einmal das von Firefox 72. Wenn das so stimmt, ist ein Backporten von Firefox 72-Fixes nach Firefox 60.3 der absolute Irrsinn. Selbst Red Hat hat diese Praxis, was Mozilla-Produkte anbelangt, aufgegeben.
Das kostet ja einen Haufen Entwicklungszeit, was die Seamonkey-Releases wohl stark verzögert. Offenbar wird nicht die aktuelle Firefox-ESR-Version zum direkten Anpassen von Seamonkey benutzt, wie Seamonkey dann versionsmäßig auch immer heißen würde.
Noch eine Bemerkung dazu:
Ich nutze Seamonkey selbst, ohne Javascript (aktuell 2.49.5), einen aktuellen Firefox dann für javascriptlastige Seiten, wenn sich das einmal nicht umgehen lässt. Dazu manchmal Debians Falkon (ebenfalls ohne Javascript), dessen Browser-Engine in Debian aber generell keine Sicherheitspatches erhält.
Die Sicherheitsproblematik bei Webbrowsern ist ganz bestimmt nicht seamonkey-spezifisch.