Bullseye: Firefox ESR noch mit der alten Version 78 in den Paketquellen

[wholelottarosie]

Es gibt den Firefox ESR zwar bereits als 91er-Version, in den Paketquellen befindet sich aber noch der 78er. Diesen habe ich auch installiert.

Kann jemand einschätzen, ob man sich darauf verlassen kann, dass dieser in Sachen Patches weiter gepflegt wird, bis er gegen die neue Version ausgetauscht wird? Aktuelle Software wäre ja durchaus wünschenswert!?

[mcb]

Das hatten wir hier ein paar mal am Rande:

z.B.: hier viewtopic.php?t=181561&start=30

Genaues weiß ich auch nicht. Ich habe heute versucht Thunderbird 91 unter Bullseye zu bauen ... hat nicht funktioniert, aber ich kann nicht programmieren.

https://wiki.debian.org/Firefox

[wholelottarosie]

Okay, danke für die Infos und den Link. Ich schau mir den genauer an!

[OrangeJuice]

Hier kannst du auch nachsehen: https://tracker.debian.org/pkg/firefox-esr
Hier sind die offenen CVE gelistet: https://security-tracker.debian.org/tra ... irefox-esr

Firefox 91.3.0esr-1 in Debian Sid hat diese Fehler nicht mehr.

[wholelottarosie]

https://wiki.debian.org/Firefox

Hat einwandfrei geklappt. Danke nochmals!

Hier kannst du auch nachsehen: https://tracker.debian.org/pkg/firefox-esr
Hier sind die offenen CVE gelistet: https://security-tracker.debian.org/tra ... irefox-esr

Ebenfalls danke. Wieder was gelernt!

[mcb]

Mist jetzt ist mein Text weg.

Was hast du denn gewählt Möglichkeeit eins, zwei, drei oder gleich auf testing/sid?

[wholelottarosie]

Die Binaries.

[willy4711]

Kleine Ergänzung (steht nicht im Wiki):
Wenn du automatische Updates von Mozilla für FF erhalten willst, musst du den Eigentümer der Verzeichnisses ändern:

Code: Alles auswählen

chown -R [BENUTZER] /opt/firefox

Analog geht das auch für Thunderbird. Da musst du halt zuerst aufpassen, dass du erstmal die Mozilla- Version von Debian installierst
und anschließend automatisch das Update machen lässt

Ich würde diese URL benutzen:
http://releases.mozilla.org/pub/

Da findest du auch die deutschen Versionen.

Für FF z.B. hier:
http://releases.mozilla.org/pub/firefox ... x86_64/de/

[wholelottarosie]

Kleine Ergänzung (steht nicht im Wiki):...

Vielen Dank!

[mcb]

Kleine Ergänzung (steht nicht im Wiki):
........
Analog geht das auch für Thunderbird. Da musst du halt zuerst aufpassen, dass du erstmal die Mozilla- Version von Debian installierst
und anschließend automatisch das Update machen lässt
....

Muß man den Thunderbird erst per apt installieren? Ich denke nein oder täusche ich mich?

[slu]

Das Firefox Thema in Debian 11 ist wirklich sehr unglücklich, seither konnte man sich auf Updates verlassen.
Bei der Verwandschaft werde ich zukünftig den Chrome installieren, das ist wohl die bessere Wahl.

[mcb]

Das Firefox Thema in Debian 11 ist wirklich sehr unglücklich, seither konnte man sich auf Updates verlassen.
Bei der Verwandschaft werde ich zukünftig den Chrome installieren, das ist wohl die bessere Wahl.

Das ist extrem unglücklich (bertrifft auch thunderbird - ok der ist nicht ganz so exponiert).

Die Version von Mozilla in /opt sollte für die Verwandschaft aber ok sein. Chrome muß jeder selbst entscheiden ist hier der Drittbrowser.

[willy4711]

Muß man den Thunderbird erst per apt installieren? Ich denke nein oder täusche ich mich?

Die "Päckchen" von Mozilla muss man nur entpacken ---> gebrauchsfertig.
Aber normalerweise ist ja ein Thunderbird installiert. Wenn man den löscht bleiben ja die Profile erhalten.
Da ist es dann am einfachsten, man nimmt die erstmal die gleiche Version von Mozilla, um das Gemeckere
zu verhindern (neues Profil...bla..bla)

Den Benutzerwechsel muss man auch nur machen, wenn man nach /opt entpackt (bzw. das Entpackte nach /opt kopiert)
Im eigenen /home ist man eh der Besitzer.
.
Aufpassen muss man halt noch in /bin dort gibt es ein Skript (firefox) und einen symlink (firefox-esr). Will man den
Debian-FF ersetzen, sollte man den am besten purgen und nachsehen, ob die beiden auch gelöscht wurden.
Danach einen neuen Symlink setzen mit dem (richtigen) Ziel.

[slu]

Die Version von Mozilla in /opt sollte für die Verwandschaft aber ok sein. Chrome muß jeder selbst entscheiden ist hier der Drittbrowser.

Theoretisch ja, aber ich möchte nicht das der User die Dateien überschreiben kann (Firefox).
Wenn ich das aber nicht erlaube kann er nicht aktuallisiert werden,...

Seither bin ich mit "installiere die Updates und das System ist ok" immer gut gefahren.

[willy4711]

Theoretisch ja, aber ich möchte nicht das der User die Dateien überschreiben kann (Firefox).

Na ja das war schon immer ein Streitpunkt. Ich sehe es nicht unbedingt ein, warum man für ein Update
denn nun unbedingt Root sein muss.
Heute kamen z.B. in Testing knapp 100 neue Pakete. Soll ich da jedes einzelne auf Sinnhaftigkeit überprüfen ?
Und mir vielleicht im Netz noch die Changelogs reinziehen?
Schaue höchsten mal drüber, was da so kommt (oder hinterher) in den Log, der mir zum Schluss angezeigt wird.

Ob ich das nun als User oder als Root mache ist völlig egal.
Ist ja inzwischen bei Gnome auch so. Da wir halt ohne PW ein Neustart als Single_User hingelegt und dann
das Update gemacht. Da erfahre ich erst im Nachhineien oder mit vielen Klicks im "Einkaufszentrum", was
da so alles neu kommen soll.

[mcb]

Die Version von Mozilla in /opt sollte für die Verwandschaft aber ok sein. Chrome muß jeder selbst entscheiden ist hier der Drittbrowser.

Theoretisch ja, aber ich möchte nicht das der User die Dateien überschreiben kann (Firefox).
Wenn ich das aber nicht erlaube kann er nicht aktuallisiert werden,...

Seither bin ich mit "installiere die Updates und das System ist ok" immer gut gefahren.

Ja - ok - stimmt schon ...

Flatpak? Allen Ungrufen zum trotz funktioniert es.

[slu]

Flatpak? Allen Ungrufen zum trotz funktioniert es.

Im Büro haben wir Scripte um den orginalen Firefox zu verteilen, das ist kein Problem.
[...]
Aber die privaten Geräte die ich den Kollegen aufgesetzt habe machen mir jetzt Bauchweh.
Zum Glück haben die meisten noch den Chrome installiert (Chromium ist ja keine Option mehr).

Da ich auf die privaten Geräte kein Zugriff habe und jetzt auch nicht alle besuchen möchte habte ich jetzt erst mal
die "Chrome only" Anweisung gegeben. Hoffentlich regelt sich das mit dem Firefox in Debian Stable.

[mcb]

Flatpak? Allen Ungrufen zum trotz funktioniert es.

Im Büro haben wir Scripte um den orginalen Firefox zu verteilen, das ist kein Problem.
[...]
Aber die privaten Geräte die ich den Kollegen aufgesetzt habe machen mir jetzt Bauchweh.
Zum Glück haben die meisten noch den Chrome installiert (Chromium ist ja keine Option mehr).

Da ich auf die privaten Geräte kein Zugriff habe und jetzt auch nicht alle besuchen möchte habte ich jetzt erst mal
die "Chrome only" Anweisung gegeben. Hoffentlich regelt sich das mit dem Firefox in Debian Stable.

Ja - irgendwie geht es und das Update landet irgendwann.

[hikaru]

Ich habe mich mal an einem Backport des Sid-Pakets unter Bullseye versucht. Der neue Firefox braucht zwingend ein neueres rustc und die Version in Sid braucht wiederum eine neuere Version als die in Bullseye Verfügbare. Man kann sich also nicht einfach Stück für Stück durch die Abhängigkeiten hangeln.

Eine ähnliche Situation hatte ich mal als ich einen Firefox-Backport von Buster (seinerzeit Testing) auf Jessie (Oldstable) versucht habe. Es kam noch clang ins Spiel und ich habe es irgendwann aufgegeben, weil ich gefühlt das halbe Release hätte backporten müssen.
Aber das war ja nur Hobby. Jetzt geht's um den einzig vom Security-Team betreuten Browser in Debian Stable. An Mike Hommeys Stelle würde ich zügigst versuchen, Firefox 91 in Testing zum Laufen zu bringen und dann eine GR anstoßen, Bookworm noch 2021 zu veröffentlichen.

[mcb]

Tja Bookworm zu Weihnachten

Mit dem rust Kompiler weiß ich auch nicht wie die das anstellen wollen. Rustc könnte in die Backports, oder ist das auch ausgeschlossen?

[hikaru]

Klar könnte man rustc in die Backports stecken, falls man es für Bullseye gebaut bekommt. Aber dann kann man es genauso gut nach Security stecken, wo auch Firefox liegt. Sonst müsste nämlich auch Firefox in die Backports.

Die eigentlich Frage ist, ob, bzw. mit wie viel Aufwand man rustc gebaut bekommt. In Bullseye liegt Version 1.48. In Sid liegt aktuell 1.56. 1.56 braucht zum Bauen 1.55 und ich weiß nicht ob 1.48 reicht. um das zu bauen. 1.56 nach Bullseye zu bekommen geht also nur mit Umwegen.
Firefox 91 braucht rustc 1.51. Vielleicht wäre das einfacher nach Bullseye zu bekommen. Aber dann hat man noch eine Version am Hals und die wäre ohnehin nur ein Zwischenschritt, denn irgendwann innerhalb des Bullseye-Supportzeitraums kommt sicher noch ein Firefox dem rustc 1.51 nicht mehr reicht.

Basierend auf meinen früheren Erfahrungen vermute ich, dass die Situation für clang ähnlich aussehen könnte.

Momentan tendiere ich dazu, mir extra für Firefox in irgendeiner Weise Sid anzuschaffen, entweder als chroot oder gleich als VM. Ich wollte den Browser ohenhin schon lange vom Rest des Systems entkoppeln. Aber was das wieder an RAM kostet ...
Klar, könnte ich dann prinzipiell auch eine der 3rd-Party-Image-Lösungen nehmen, aber neben den ganz eigenen potenziellen Sicherheitsproblemen dieser Lösungen traue ich Mozilla in Sachen Datenschutz nicht so richtig über den Weg. Die bauen von Zeit zu Zeit gern mal irgendwelche hippen Experimente in ihre neuen Versionen ein, die das Debian-Team meiner Wahrnehmung nach gut rausfiltert. Daher würde ich nur ungern einen Upstream-Firefox nutzen.

[willy4711]

Mir ist schleierhaft, warum hier so ein Aufriss gemacht wird.

Das ist ja schon fast Hysterie : Dann lieber Chromium oder gar Chrome

Gut da scheint es bez. der Kompilierung ein Paar Probleme zu geben.
Der Firefox von Debian wird wohl teilweise von Bloat bereinigt, was auch immer das ist.

Das kann man aber auch weitgehend verhindern in dem mal sich mit mit dem Privacy-Handbuch.
https://www.privacy-handbuch.de/handbuch_21.htm beschäftigt.

Ich weiß auch nicht wo da Probleme mit dem Update von Firefox von Mozilla sein könnten.
Man kann die Updates so einstellen, dass der User nix davon merkt.
Beim nächsten Start ist halt einen neue Version da.

Möchte hier irgendjemand behaupten, das er erstmal den Code studiert, bevor er ein Update zulässt ??
Das passiert soweit mir bekannt ist auch bei den Debian - Versionen nicht. Da wird halt via Skript
irgendwas rausgeschnippelt.

Das Flatpak ist auch nicht anders als der Original FF von Mozilla, das Argument vom Sandkasten sticht auch nicht,
da man mit firejail inzwischen Browser und alles andere auch beliebig "einmauern" kann,
dass er noch nicht mal mehr Zugriff auf das eigene /home hat.

Also was ist das hier für heiße Luft, die mal wieder abgelassen wird ?

[mcb]

Ich gebe zu die Debianlogik kann ich manchmal nicht nachvollziehen.

- "Nichtprogrammierer"-Ansatz ich installiere ein neues rustc (aus sid oder von mozilla) unter bullseye und kann Firefox kompileren.

Ne VM nur für Firefox? Weiß nicht - soviel Schrott baut Mozilla dann doch nicht. Lieber ne user.js / prefs.js schreiben.

PS: Die Firefox-ESR aus sid läuft soweit problemlos under Bookworm, die sollte kommen.

Nur ich möchte mein Hauptsystem auf stable lassen. Bei Testing knirscht es mir zu oft (wäre die Notlösung).

[hikaru]

Gut da scheint es bez. der Kompilierung ein Paar Probleme zu geben.

Aktuell ist die von Upstream unterstützte Version von firefox-esr unter Stable nicht compilierbar. D.h., es gibt aktuell aus den Debian-Quellen keinen sicheren Browser. In Anbetracht dessen, dass der Browser auf Desktopsystemen die mit Abstand wichtigste Software sein dürfte, ist dieser Zustand vorsichtig ausgedrückt problematisch.

Der Firefox von Debian wird wohl teilweise von Bloat bereinigt, was auch immer das ist.

Ich müsste nachschauen, aber das Letzte an das ich mich erinnere waren irgendwelche Profiling-Einstellungen die Firefox in der Standardeinstellung dazu veranlasst haben, nach Hause zu telefonieren wie ein altes Waschweib.

Das kann man aber auch weitgehend verhindern in dem mal sich mit mit dem Privacy-Handbuch.
https://www.privacy-handbuch.de/handbuch_21.htm beschäftigt.

Und du überprüfst bei jeder neuen Firefox-Version alle Einstellungen, inklusive möglicher stiller Änderungen? Ich nicht, dazu bin ich nämlich zu faul. Das Debian-Firefox-Team hat das in der Vergangenheit zumindest bei den Änderungen getan die es bis in die Boulevardpresse schafften. Und dabei wurde nicht nur in about:config rumgeklickt, sondern auch Code angefasst.

Ich weiß auch nicht wo da Probleme mit dem Update von Firefox von Mozilla sein könnten.

Das Problem ist, dass es direkt von Mozilla kommt.

Das Flatpak ist auch nicht anders als der Original FF von Mozilla,

Ich behaupte, in dem Flatpak steckt noch ein Satz Libs den keiner so genau übrprüft, schon gar nicht auf mögliche Kreuzreaktionen mit Debians System-Libs.
Was zueinander unpassende Libs anstellen können weißt du ja spätestens seit dem Waterfox-Thread. Und das war noch die harmlose Variante, denn der Browser ist dir damals spektakulär um die Ohren geflogen. Du wusstest also sofort, das etwas kaputt war. Stell dir vor was passiert, wenn du nicht mitbekommst, dass deine TLS-Verbindung nicht sicher ist!

das Argument vom Sandkasten sticht auch nicht,
da man mit firejail inzwischen Browser und alles andere auch beliebig "einmauern" kann,
dass er noch nicht mal mehr Zugriff auf das eigene /home hat.

Das nützt aber nichts, wenn der unsichere Browser innerhalb des Sandkastens Scheibe spielt, wo ohnehin alle sensiblen Daten anfallen und Angriffe stattfinden. Oder machst du für jede Website eine eigene Sandbox auf?

Also was ist das hier für heiße Luft, die mal wieder abgelassen wird ?

Das frage ich mich auch.

[willy4711]

Und du überprüfst bei jeder neuen Firefox-Version alle Einstellungen, inklusive möglicher stiller Änderungen?

Das Profil ändert sich nicht bei einem Update.
Die Einstellungen bleiben also erhalten.

In Anbetracht dessen, dass der Browser auf Desktopsystemen die mit Abstand wichtigste Software sein dürfte, ist dieser Zustand vorsichtig ausgedrückt problematisch.

Das mag wohl so sein. Aber ein gut eingestellter Firefox von Mozilla ist alle mal besser als das Chrome* Zeugs.

Ich behaupte, in dem Flatpak steckt noch ein Satz Libs den keiner so genau übrprüft, schon gar nicht auf mögliche Kreuzreaktionen mit Debians System-Libs.

Ich würde auch nie einen Browser aus dem Flatpak holen. Neben dem riesigen Download Volumen Für FF 1 GB
stimme ich deiner Argumentation zu.

Das nützt aber nichts, wenn der unsichere Browser innerhalb des Sandkastens Scheibe spielt, wo ohnehin alle sensiblen Daten anfallen und Angriffe stattfinden. Oder machst du für jede Website eine eigene Sandbox auf?

Verstehe ich nicht.
Richte mal ff so ein, dass du ihn so starten kannst;

Code: Alles auswählen

firejail  --private=~/.privat-browser/Firefox/   /opt/firefox_beta/firefox --no-remote

Wo gibt es da noch irgendwo Zugriff ?
Welche sensiblen Daten fallen da an ? Bei Mir ---> Keine.

Aber vielleicht mal was grundsätzliches, wie ich einen Browser handhabe.
Keine History / Keine Cookies. Ich mach den Browser im Schnitt alle 10 Minuten neu auf.
Wenn ich hier schreibe, ist dass die einzige Seite, die geöffnet ist.
Mit Bleachbit lösche ich mehrmals am Tag den kompletten ~/cache.

Ich will ja nicht behaupten dass mich nun niemand mehr trackt / Daten speichert, aber ich denke, dass das ziemlich minimiert ist.