Bullseye: Firefox ESR noch mit der alten Version 78 in den Paketquellen

[alberich]

Okay, aber könntest du vielleicht noch den einen oder anderen der 'manchen' Blogs erwähnen? Dieser da ist doch eher von Larmoyanz und Polemik geprägt. Der Autor fängt ja schon auf 180 an und kommt dann kaum noch runter.

[Blue]

Okay, aber könntest du vielleicht noch den einen oder anderen der 'manchen' Blogs erwähnen? Dieser da ist doch eher von Larmoyanz und Polemik geprägt. Der Autor fängt ja schon auf 180 an und kommt dann kaum noch runter.

[ToterEngel]

Auch unter anderen Titeln wird das Thema durchaus häufiger angesprochen.
Dies fand ich gleich auf Anhieb mit der Suchmaschine meines Vertrauens auf der ersten Seite:

https://blog.thul.org/technik/anwendung ... lisierung/ oder
https://forum.kuketz-blog.de/viewtopic.php?t=9019

[dasebastian]

Habe das Flatpak jetzt auch geschmissen und die ".local/opt"-Variante eingerichtet (91.4.0esr). Läuft (natürlich).

Was mich schon ärgert: der Kompaktmodus hat eigentlich nichts mehr mit kompakt zu tun und du musst ihn vorher noch extra aus den about:configs rauskitzeln. Was mich aber noch viel mehr ärgert, ich bekomme diese idiotischen Firefox-Startwerbungsseiten nicht weg (die Haken unter Allgemein/Surfen ändern jedenfalls nichts).

Alles in allem fliegt diese Installation sobald das Paket aus den Repos upgedatet ist.

So penetrant, diese Werbungsk%&@e....

[wholelottarosie]

...und du musst ihn vorher noch extra aus den about:configs rauskitzeln...

Kannst du mir diesbezüglich Infos geben, was in about:config verändert werden kann/soll? Ein wenig mehr Kompaktheit wäre mir auch recht.

[DerChris]

Was mich aber noch viel mehr ärgert, ich bekomme diese idiotischen Firefox-Startwerbungsseiten nicht weg (die Haken unter Allgemein/Surfen ändern jedenfalls nichts).

Moin,

hier zwar Firefox 95, sollte aber auch für dich passen:

Einstellungen, Startseite: Startseite und neue Fenster --> leere Seite, Neue Tabs --> leere Seite

Darunter alles bei "Inhalte des Firefox-Startbildschirms" deaktivieren.

[dasebastian]

Kannst du mir diesbezüglich Infos geben, was in about:config verändert werden kann/soll? Ein wenig mehr Kompaktheit wäre mir auch recht.

Gerne:

Code: Alles auswählen

browser.compactmode.show

auf TRUE und dann nochmal in die Dichteeinstellung gehen und dort explizit anwhählen.

Einstellungen, Startseite: Startseite und neue Fenster --> leere Seite, Neue Tabs --> leere Seite (...) Darunter alles bei "Inhalte des Firefox-Startbildschirms" deaktivieren.

Ich hatte das zwar (so ähnlich) gemacht, aber siehe da, da hat sich nochmal die Werbeseite dazugestellt. Dürfte ich noch offen gehabt haben, als ich meine eigene Seite als Start definiert hatte. Danke für den Anstoß, da nochmal reinzuschauen!

[mcb]

Code: Alles auswählen

about:policies

Weiss jetzt nicht welche ...

[wholelottarosie]

Gerne:

Code: Alles auswählen

browser.compactmode.show

auf TRUE und dann nochmal in die Dichteeinstellung gehen und dort explizit anwhählen.

Erledigt, herzlichen Dank!

[dasebastian]

Erledigt

Im Vergleich zu 78esr ist es halt immer noch klickitouchieriesieg... Aber okay, es gibt Schlimmeres.

[willy4711]

Hier noch ein Verweis auf die ganzen about: Seiten:
http://kb.mozillazine.org/About_protocol_links

Ich finde es einfach toll. wie detailliert Mozilla den Browser dokumentiert, zumal das für jeden
normalen User erreichbar ist. Gibt es das bei irgend einem anderen Browser ?

Mir scheint es eher so, dass die meisten User eine "fertige Lösung" erwarten, die gegen alles
und jeden gefeit ist, und - natürlich - auch noch den jeweiligen Ansprüchen an die Oberfläche
genügt. Dann wird sich über irgendwelche Reklame beschwert, die man ja sehr einfach abschalten
kann, aber nein das ist dann das Argument, einen anderen Browser nutzen zu wollen.

Und ich verweise nochmal auf die Seite:
https://www.privacy-handbuch.de/handbuch_21.htm
Dort gibt es hunderte von Einstellungen, die man zum Schutz seiner Privatsphäre und Sicherheit
vornehmen kann, wenn man bereit ist, mal ein paar Stunden zu opfern.

@ tijuca :
Vielen Dank für den Link, wenn ich mit dem Code auch nicht allzu viel anfangen kann
die Seite Merge branches 'fixes' and 'debian-hacks' scheint aber doch zumindest einen "sprachlichen" Überblick zu geben, was geändert wird.

[tobo]

Und ich verweise nochmal auf die Seite:
https://www.privacy-handbuch.de/handbuch_21.htm
Dort gibt es hunderte von Einstellungen, die man zum Schutz seiner Privatsphäre und Sicherheit
vornehmen kann, wenn man bereit ist, mal ein paar Stunden zu opfern.

Und wer dazu nicht bereit ist, dem wird, mittels Presets, die Möglichkeit zur Schnellkonfiguration geboten:
https://www.privacy-handbuch.de/handbuc ... chnell.htm

[willy4711]

Geil..
Ganz unten auf deiner verlinkten Seite wird auch noch auf ein Plugin hingewiesenen, das ich noch nicht kannte:

Binnen-I be gone ersetzt ideologisch motivierte Sprachverhunzungen in Texten durch das generische Maskulin. Wer beim Lesen von Konstrukten wie "InfluencerInnen" oder "Verbrecher:innen" oder "Politiker*innen" immer genervt ins Stolpern kommt und sich fragt, wie man das jetzt aussprechen müsste, wird das Add-on mögen.

Hat das schon jemand getestet ?

[dasebastian]

Ich finde es einfach toll. wie detailliert Mozilla den Browser dokumentiert, zumal das für jeden
normalen User erreichbar ist.

Absolute Zustimmung hier.

Dann wird sich über irgendwelche Reklame beschwert, die man ja sehr einfach abschalten
kann, aber nein das ist dann das Argument, einen anderen Browser nutzen zu wollen.

Falls du mich damit ansprichst, ich hatte das immer so gehalten, dass ich mich da durchackere, aber diesmal hat es bei mir halt erstmals nicht funktioniert, da ich übersehen hatte, dass sich zwei URLs in die Startseite eingeschlichen hatten. Ganz klar mein Fehler. Hattte aber deshalb auch gar nicht damit geliebäugelt, deshalb einen anderen Browser zu wollen.

Im Gegenteil, ich bin durchgehender FF-User seit der ersten Stunde.

Hatte mir im Zuge der letzten Tage mehrere andere Browser angesehen, meinen Ansprüchen konnte aber nur FF genügen bzw. bin ich den halt gewohnt. ABER Kritik muss schon auch erlaubt sein.

Ich bin kein Fan von großen Buttons und alles schön abgerundet. Ich bin kein Fan von Pocket, ich fände es besser, wenn die ganzen Nachhausetelefoniererein OptIn wären, und ja, klar, ich fände es besser, wenn ddg die Standardsuchmaschine wäre und nicht google.

Vieles davon lässt sich aber beheben.

Dass der Kompaktmodus nicht mehr so kompakt ist kann man belächeln, kann man aber auch ernst nehmen. Dass dieses Feature jetzt wirklich versteckt wurde - warum macht man sowas?

Und dass Mozilla netzpolitisch immer "aktiver" wird, kann man gut, schlecht oder fragwürdig finden, das muss schon diskutiert werden dürfen, anstatt dass man sagt ist doch eh alles in Butter.

Von den anderen Browsern, die ich mir angeschaut hatte (Librewolf, Vivaldi, qutebrowser) kam niemand auch nur nahe an meine Wünsche ran.

Optisch und bedienungsmäßig hat mich der qutebrowser sehr angesprochen, aber FF punktet da halt schon sehr mit Privatsphäre etc.

Ich surfe default immer privat, Chronik gibt es nicht, Cookies werden beim Schließen gelöscht, PW nicht gespeichert. Das in Verbindung mit DDG Essentials, Ublock Origin und Privacy Badger macht das Surfen halt schon sehr sehr angenehm und ist ein gutes Gefühl.

Also FF ja aber was man liebt muss man auch kritisieren dürfen und Einzelheiten beim Namen ansprechen.

Meine Meinung dazu.

[willy4711]

Falls du mich damit ansprichst, ich hatte das immer so gehalten, dass ich mich da durchackere, aber diesmal hat es bei mir halt erstmals nicht funktioniert, da ich übersehen hatte, dass sich zwei URLs in die Startseite eingeschlichen hatten. Ganz klar mein Fehler. Hattte aber deshalb auch gar nicht damit geliebäugelt, deshalb einen anderen Browser zu wollen.

Erstmal generelle Zustimmung.

Nein ich hatte dich damit nicht gemeint. Das war die Reaktion auf diverse Kommentare, die sich über irgendwelche Reklame
in FF beschwerten und das zum Anlass nahmen Mozilla mehr oder weniger "Verrat" an irgendwelchen Prinzipien vorzuwerfen.

Das habe ich kritisiert, weil diese Nutzer von einem "gebrauchsfertigen" vollkommen sicheren und absoluten
Datenschutz respektierenden Browser ausgehen. Und den gibt es nun mal nicht.

Diese Nutzer landen dann hier:
Mozilla muss auch leben und seine Entwickler bezahlen. Da fällt mir bei einem Browser halt nur ein, dass die Entwickler
über die Datenfreigabe von machen "Secrets" gehen. Gibt es andere Möglichkeiten, mit einem Browser Geld zu verdienen ?

Aber:
Wie gut, dass Firefox der wohl am besten dokumentierte Browser ist, bei dem man nach entsprechenden
Durchforsten des Netzes (fast) alle Begehrlichkeiten unterbinden kann.

[dasebastian]

Mozilla muss auch leben und seine Entwickler bezahlen. Da fällt mir bei einem Browser halt nur ein, dass die Entwickler
über die Datenfreigabe von machen "Secrets" gehen.

Jup. +1

Wie gut, dass Firefox der wohl am besten dokumentierte Browser ist, bei dem man nach entsprechenden
Durchforsten des Netzes (fast) alle Begehrlichkeiten unterbinden kann.

Sehe ich ganz genau so.

[willy4711]

Ein interessanter Artikel zu diesem Thema hier:
https://linuxnews.de/2021/12/browser-be ... m-zustand/

[dasebastian]

Dieses Ubuntuzilla habe ich überhaupt noch nie gehört.

Bauchmäßig bleibe ich da aber lieber bei meiner ~/.local/opt/firefox Variante, Updates kommen direkt an und ich als Root muß eh nicht surfen...

[electri]

Bauchmäßig bleibe ich da aber lieber bei meiner ~/.local/opt/firefox Variante, Updates kommen direkt an und ich als Root muß eh nicht surfen...

Die Frage hatte ich schon mal angerissen: Ich dachte immer, eine Installation unter /opt sei sicherer, weil die Programmdateien root gehören, und ich als ausführender Benutzer daher nur Leserechte, aber keine Schreibrechte habe. Eine Sicherheitslücke im Browser kann so die Programmdateien nicht verändern. Mit der Installation unter /opt geht es mir nicht darum, dass ich auch noch als root oder weiterer Benutzer surfen kann, sondern um den fehlende Schreibzugriff auf ausführbare Dateien. Bei einer installation unter /home/user/irgendwas habe ich als User nicht nur Leserechte auf die Firefox-Programmdateien, sondern auch Schreibrechte. Eine Sicherheitslücke könnte also so ausgenutzt werden, dass die Firefox-Programmdateien manipuliert werden. Ich halte das für ein Sicherheitsrisiko, und bevorzuge daher die /opt-Variante, auch wenn das bedeutet, dass ich die Updates manuell machen muss. Warum sagen einige, dass es mehr oder weniger wurscht ist, wo ich Firefox hin kopiere? Ist der Angriffsvektor zu selten bzw. wird nicht ausgenutzt?

[willy4711]

Ich habe mir mal die Lösung von Sparky angesehen, die ich einfach intelligent finde.

Die haben ein eigenes Repo für FF / FF-esr angelegt, und packen das Original mit einem deb- Paket nach /opt und gut.

Interessant wäre da nur, wie der Update- Mechanismus funktioniert. Scheint dann nicht mehr über das Repo zu gehen, sondern direkt über Mozilla. Werde das mal in einer VM testen.
Links:
https://sparkylinux.org/firefox-mozilla-build/
Repo:
http://us1.repo.sparkylinux.org/pool/main/f/

Warum macht Debian denn nicht auch so was ? Deaktiviert die Update-Funktion im Firefox macht seine Änderungen
und gut ist ??

Klar könnte man rustc in die Backports stecken, falls man es für Bullseye gebaut bekommt. Aber dann kann man es genauso gut nach Security stecken, wo auch Firefox liegt. Sonst müsste nämlich auch Firefox in die Backports.

Die eigentlich Frage ist, ob, bzw. mit wie viel Aufwand man rustc gebaut bekommt. In Bullseye liegt Version 1.48. In Sid liegt aktuell 1.56. 1.56 braucht zum Bauen 1.55 und ich weiß nicht ob 1.48 reicht. um das zu bauen. 1.56 nach Bullseye zu bekommen geht also nur mit Umwegen.
(....)
Aktuell ist die von Upstream unterstützte Version von Debianfirefox-esr unter Stable nicht compilierbar. D.h., es gibt aktuell aus den Debian-Quellen keinen sicheren Browser. In Anbetracht dessen, dass der Browser auf Desktopsystemen die mit Abstand wichtigste Software sein dürfte, ist dieser Zustand vorsichtig ausgedrückt problematisch.

Zwingend ist das doch aber nur für den Maintainer. Bei mir ist kein einziges Paket von rustc installiert.
firefox-esr ist auch nicht abhängig von irgendeinem rustc Paket.

Ich verstehe das überhaupt nicht. Warum wird der Firefox nicht einfach - meinetwegen mit irgendwas von rustc
zusammengebastelt und dann zur Verfügung gestellt.

Etwa wirklich nur deshalb, weil man sich einer nicht in Bullseye vorhandenen Sprachversion bedienen muss, die
hinterher keinen User mehr Interessiert ?

Der "reine" Debian way of live ist schwer zu verstehen

[willy4711]

Eine Sicherheitslücke könnte also so ausgenutzt werden, dass die Firefox-Programmdateien manipuliert werden. Ich halte das für ein Sicherheitsrisiko, und bevorzuge daher die /opt-Variante, auch wenn das bedeutet, dass ich die Updates manuell machen muss. Warum sagen einige, dass es mehr oder weniger wurscht ist, wo ich Firefox hin kopiere? Ist der Angriffsvektor zu selten bzw. wird nicht ausgenutzt?

Das mag ja sein, dass das Programmverzeichnis in irgendeiner Form böswillig manipuliert werden kann, aber das
System ist davon nicht betroffen, kann auch nicht kompromittiert werden.

Persönlich Daten - und darum geht es ja meist - können beide Varianten in deinem /home auslesen und sonst wohin schicken.
So was kann man garantiert auch im Profil-Verzeichnis unterbringen.

Deshalb halte ich es in jedem Fall immer für angebracht, Firefox unter firejail laufen zu lassen.
Wenn man ganz verrückt ist, gibt es dann noch nicht mal Zugriff auf das eigene /home.

[dasebastian]

Ich dachte immer, eine Installation unter /opt sei sicherer, weil die Programmdateien root gehören, und ich als ausführender Benutzer daher nur Leserechte, aber keine Schreibrechte habe...

Ach so, ja, verstehe die Logik dahinter. Mir ging's eher darum, dass nicht "ins System" geschrieben werden kann, lieber "nur" ( ) in /home. Und die Updatesache ist einfacher.

Wer weiss schon, was da bei den Maintainern jetzt vielleicht so ins Rollen kommt, welche Dogmen vielleicht bröckeln. Die Geschichte beginnt ja auch ein bisschen Fahrt aufzunehmen. Wenn's in absehbarer Zeit noch ein Hebung auf den nächsten ESR gibt, dann war das halt eine kleine Episode... kann man ja dann den Enkelkindern erzählen, ... und Ende 21 hatten wir nicht mal mehr einen sicheren Browser... da roch es nach Blut in der URL ...

[tijuca]

Wer weiss schon, was da bei den Maintainern jetzt vielleicht so ins Rollen kommt, welche Dogmen vielleicht bröckeln. Die Geschichte beginnt ja auch ein bisschen Fahrt aufzunehmen. Wenn's in absehbarer Zeit noch ein Hebung auf den nächsten ESR gibt, dann war das halt eine kleine Episode... kann man ja dann den Enkelkindern erzählen, ... und Ende 21 hatten wir nicht mal mehr einen sicheren Browser... da roch es nach Blut in der URL ...

Was nimmt den Fahrt auf? Ich lese bei den Meldungen die da jetzt zum Besten gegeben werden immer nur einen Imperativ heraus. Müsste, könnte, sollte ... aber nirgends lese ich das auch nur einer dieser Blogposter mal nur versucht hätte mit den Maintainern z.B. mal Kontakt aufzunehmen. Aber alle kennen das Debian Universum und die Schwachstellen oder glauben das zumindest.
Fakt ist, dass die Buildtools momentan noch nicht komplett vorhanden sind um die aktuellen ESR Versionen vom FF und TB für Bullseye und Buster erstellt werden können. Und das war (leider) immer so wenn die ESR Version einen Sprung auf die neue Version gemacht hat, dauert jetzt nur etwas länger. Also im Westen nichts neues bisher. Ich hole mal neue Chips...

[hikaru]

Ich verstehe das überhaupt nicht. Warum wird der Firefox nicht einfach - meinetwegen mit irgendwas von rustc
zusammengebastelt und dann zur Verfügung gestellt.

Weil das Paket dann nicht reproduzierbar ist. [1]

Der "reine" Debian way of live ist schwer zu verstehen

Ja, das Problem sehe ich bei dir öfter.


[1] https://wiki.debian.org/ReproducibleBuilds

[willy4711]

Weil das Paket dann nicht reproduzierbar ist. [1]

Nun, ich habe keine Ahnung von derartigen Dingen. Aber ich denke, etwas logisches Denken zu beherrschen.

Mein vielleicht ja falscher Gedankengang:

Wenn einen bestimmte Version von Firefox mit einer bestimmten Rust-Version erstellt wurde [1], dann der Source Code
mit den Debian Änderungen verändert wird [2] wie @ tijuca dargelegt hat. und anschließend dann ein Debian Paket daraus gebaut wird, verstehe ich nicht, was daran auf die jeweilige Version bezogen, nicht reproduzierbar sein sollte.
Zumal auf der von dir verlinkten Seite [3] ja groß und breit steht:

Status
Reproducible builds of Debian as a whole is still not a reality, though individual reproducible builds of packages are possible and being done. So while we are making very good progress, it is a stretch to say that Debian is reproducible.

willy4711 hat geschrieben: ↑ zum Beitrag ↑
12.12.2021 18:44:36
Der "reine" Debian way of live ist schwer zu verstehen

Ja, das Problem sehe ich bei dir öfter.

Tja so ist das halt. Hab noch nie das verstehen wollen, was mir mehr oder weniger dogmatisch vorgesetzt wurde.


[1] https://firefox-source-docs.mozilla.org ... olicy.html
[2] https://salsa.debian.org/mozilla-team/f ... an/patches
[3] https://wiki.debian.org/ReproducibleBuilds