Bullseye: Firefox ESR noch mit der alten Version 78 in den Paketquellen

[MSfree]

Hab noch nie das verstehen wollen, was mir mehr oder weniger dogmatisch vorgesetzt wurde.

Bullseye besteht aus rund 60000 Paketen. Wie viele davon in Rust geschrieben sind, will ich hier gar nicht recherchieren. Wenn aber diese Pakete alle mit einem neueren Rust-Compiler übersetzt werden müssen, weil Firefox als einziger einen neueren Compiler benötigt, zieht das einen erheblichen Rattenschwanz nach sich. Die neu erstellten Pakete müssen dann auch zu der Software passen, die nur Bibliotheken verwenden, die in Rust geschrieben wurden. Der Testaufwand ist natürtlich entsprechend hoch.

Was man bei Debian dogmatisch vermeiden will, ist, daß z.B. der Firefox mit einem anderen (neueren) Rust-Compiler gebaut wird als der Rest der Debianpakete. Denn das wäre dann kein reprodizierbares Ergebnis mehr. Ein Betriebssystem, bei dem ein Teil der Bibliotheken mit einem älteren Rust-Compiler und ein anderer Teil mit einem neueren Rust-Compiler gebaut werden, will man nicht, das führt unnötig in die DLL-Hell.

Der Schritt hier lautet also alles oder gar nichts.

[fischig]

Statt also die Debian-Philosophie anzuzweifeln, sehe ich das Problem eher so: Es gibt, soweit ich sehe, keine wirkliche Alternative. Debian ist extrem auf Mozilla angewiesen.

[willy4711]

Danke für die Erklärung.
Aber das trifft doch auch für jeden Firefox zu, den ich mir von Mozilla besorge.
Die Firefox- Versionen, die bei mir laufen haben doch auch ganz unterschiedliche Rust- Versionen:

• Firefox Version Uses
  Firefox 95 -----> Rust 1.56.0
  Firefox 91 -----> Rust 1.53.0
  Firefox 78 -----> Rust 1.43.0

Ich hab da noch keine Probleme gesehen

Wenn ich mir das deb Paket von Sparky ansehe (original Mozilla-Version als Deb- Paket nach /opt) gibt es da
eine einzige Abhängigkeit:

Depends: libc6
Description: Mozilla Firefox, official Mozilla build
This is the unmodified Mozilla release binary of Firefox, packaged into a .deb

Statt also die Debian-Philosophie anzuzweifeln, sehe ich das Problem eher so: Es gibt, soweit ich sehe, keine wirkliche Alternative. Debian ist extrem auf Mozilla angewiesen.

Ich zweifele überhaupt nichts an, aber annähernd verstehen will ich schon.

Ich weiß nicht im Einzelnen, was Debian dort ändert, weil ich den Code da so gut wie nicht verstehe.
Aber wäre es nicht einen Möglichkeit zu sagen:
Wir können im Augenblick das nicht einkompilieren, aber ihr habt die Möglichkeit (z.B. durch eine user.js)
die meisten Änderungen durchführen ?

Edit:

Mal im esr- Paket spioniert:
da gibt es ja sogar eine /etc/firefox-esr/firefox-esr.js

[electri]

Ich zweifele überhaupt nichts an, aber annähernd verstehen will ich schon.

Ich glaube, da gibt es nichts zu verstehen. Debian ist dogmatisch, und Punkt. Die Gründe können vielfältig sein. In einem Blog wird die Problematik die hier speziell für Firefox diskutiert wird, allgemein auf alle Pakete und die Debian-Philosophie erweitert. Lösungsvorschläge, wie Debian sich weiter entwickeln könnte, allgemein oder auch nur bezüglich Firefox, bringen meines Erachtens hier im Forum eher wenig. Das müsste eher intern bei Debian diskutiert werden.
Persönlich denke ich, dass auch bei Ubuntu (incl. K/X/L/etc-ubuntu) in der LTS-Version ohne größere Recherche unklar ist, welche Pakete aktiv gepflegt werden, und welche Pakete Sicherheitslücken enthalten könnten. Ich prüfe nämlich nicht, welches Paket aus welchem Repo stammt. openSUSE Leap verwendet einen alten Kernel, welcher meine Hardware nicht unterstützt .... und das eine Jahr Unterstützung von Leap ist mir außerdem zu kurz. Insofern ist Debian für mich nach wie vor der beste Kompromiss, auch wenn ich mir wünschen würde, dass die Dogmatik etwas geringer ausgeprägt wäre, und die Kommunikation besser laufen würde. Ich finde, dass der Befehl check-support-status mittlerweile Firefox ausspucken müsste.

[dasebastian]

Könnte man es nicht auch wie torbrowser-launcher handhaben? Dann könnte man den Leuten auf einfachem Weg einen aktuellen Browser anbieten. Achso, dann wären ja wieder die Leute von Mozilla verantwortlich oder?

[willy4711]

[2021-12-13] firefox-esr 91.4.0esr-1 MIGRATED to testing (Debian testing watch)

Fröhliche Weihnachten für Bullseye(r). Oder

[hikaru]

Weil das Paket dann nicht reproduzierbar ist. [1]

Nun, ich habe keine Ahnung von derartigen Dingen. Aber ich denke, etwas logisches Denken zu beherrschen.

Das ist ein klassisches Beispiel des Dunning-Kruger-Effekts:
Dir fehlen grundlegende Kenntnisse zur Softwareentwicklung. Genau diese Kenntnisse bräuchtest du um zu erkennen, warum es nötig ist, dass für Reproducible Builds von Firefox aus dem Repo alle Build-Tools ebenfalls im Repo vorhanden sein müssen.

Man hat nun also seitens Debian drei Möglichkeiten:
1. alle für Firefox nötigen Build-Tools ins Repo holen
2. Firefox aufgeben
3. Reproducible Builds (als Ziel) aufgeben

Momentan versucht man 1. und beißt sich mehr oder weniger die Zähne daran aus. Dass man sich überhaupt die Mühe macht liegt daran, dass 2. ziemlich unattraktiv ist, weil Debian dann ganz ohne Browser dastünde.

3. wird man nicht machen, denn Reproducible Builds ergeben sich zwar nicht wortwörtlich, aber dem Geiste nach aus dem DSC, denn ein Punkt, überhaupt auf FLOSS zu bestehen ist, dass der User (entsprechende Fähigkeiten vorausgestzt) jederzeit nachprüfen kann, ob die von Debian bereitgestellten Binaries tatsächlich aus dem Sourcecode des Quellpakets kommen und damit vertrauenswürdig sind. Dazu muss das Binary 1:1 (bis zur Prüfsumme) aus dem Sourcecode generierbar sein, wozu man natürlich genau die von Debian verwendeten Build-Tools braucht.
Ja, das ist dogmatisch, aber es ist ein "guter Dogmaitismus", der etwa auf dem Level anzusiedeln ist, wie Rechtsstaaten nicht bereit sind sein sollten, ihre Gesetzte von Dritten kompromittieren zu lassen.**

Wenn einen bestimmte Version von Firefox mit einer bestimmten Rust-Version erstellt wurde [1], dann der Source Code
mit den Debian Änderungen verändert wird [2] wie @ tijuca dargelegt hat. und anschließend dann ein Debian Paket daraus gebaut wird, verstehe ich nicht, was daran auf die jeweilige Version bezogen, nicht reproduzierbar sein sollte.

Die Build-Tools sind aus Debian-Sicht dann nicht verfügbar, weil nicht im Repo.

Tja so ist das halt. Hab noch nie das verstehen wollen, was mir mehr oder weniger dogmatisch vorgesetzt wurde.

Das verlangt auch keiner von dir. Aber wenn du Kritik übst, sollte diese fundiert und idealerweise konstruktiv sein, was vorausetzt, dass du verstehst, welchen Grundsätzen die von Debian getroffenen Entscheidungen zugrunde liegen.
Hast du das verstanden, dann könnte konstruktive Kritik z.B. so aussehen, dass du alternative Handlungswege aufzeigst, die trotzdem den Grundsätzen entsprechen. Falls das nicht geht könntest du auch aufzeigen, dass und warum die Grundsätze mehr negative als positive Folgen haben und so eine fundamentale Neuausrichtung Debians anstoßen.

Wenn aber diese Pakete alle mit einem neueren Rust-Compiler übersetzt werden müssen, weil Firefox als einziger einen neueren Compiler benötigt, zieht das einen erheblichen Rattenschwanz nach sich. Die neu erstellten Pakete müssen dann auch zu der Software passen, die nur Bibliotheken verwenden, die in Rust geschrieben wurden. Der Testaufwand ist natürtlich entsprechend hoch.

Desalb schrieb ich scherzhaft das:

An Mike Hommeys Stelle würde ich zügigst versuchen, Firefox 91 in Testing zum Laufen zu bringen und dann eine GR anstoßen, Bookworm noch 2021 zu veröffentlichen.

Was man bei Debian dogmatisch vermeiden will, ist, daß z.B. der Firefox mit einem anderen (neueren) Rust-Compiler gebaut wird als der Rest der Debianpakete.

Genau so wird es aber kommen. Dann wird es ein rustc-mozilla (o.Ä.) geben und das alte rustc.
Das ist zwar hässlich, aber aber pragmatisc die beste Lösung, wenn man keine Grundsätze aufgeben will.

Könnte man es nicht auch wie torbrowser-launcher handhaben? Dann könnte man den Leuten auf einfachem Weg einen aktuellen Browser anbieten. Achso, dann wären ja wieder die Leute von Mozilla verantwortlich oder?

Prinzipiell könnte man es so machen. Aber wenn man das bei immer mehr Paketen macht, wird das Debian-Repo irgendwann nur noch zu einer Sammlung von Upstream-Installern und irgendwann kann man sich dann auch die Distribution sparen. Natürlich geht von einem Paket mehr nicht die Debian-Welt unter, aber Firefox ist eben ein prominentes Paket und wäre damit potenziell ein ziemlich großer Nagel im Debian-Sarg.

[2021-12-13] firefox-esr 91.4.0esr-1 MIGRATED to testing (Debian testing watch)

Fröhliche Weihnachten. Oder

Nicht für Stable. Testing ist ja im Grunde nur Unstable mit zwei Wochen Zeitversatz. Falls der neue Firefox in Unstable funktioniert ist es also nur eine Frage der Zeit bis er nach Testing kommt. Für Stable bedeutet das aber gar nichts.


*) Was nicht schlimm ist. Es ist halt nicht dein Fachgebiet.
**) Stichwort: "Mit Terroristen verhandelt man nicht"*** - selbst wenn das im Einzelfall für die jeweils entführten möglicherweise besser wäre.
***) Nur um das klarzustellen: Ich stelle hier ausdrücklich nicht Mozilla in Zusammenhang mit Terrorismus. Es geht um die Demonstration, warum die Prinzipientreue von Debian in diesem Punkt wichtig ist.

[willy4711]

Das ist ein klassisches Beispiel des Dunning-Kruger-Effekts:
Dir fehlen grundlegende Kenntnisse zur Softwareentwicklung. Genau diese Kenntnisse bräuchtest du um zu erkennen, warum es nötig ist, dass für Reproducible Builds von Firefox aus dem Repo alle Build-Tools ebenfalls im Repo vorhanden sein müssen.

Du solltest, bevor du mit angeeigneten psychologischen Parametern argumentierst, wenigsten vollständig argumentieren.

Nun, ich habe keine Ahnung von derartigen Dingen. Aber ich denke, etwas logisches Denken zu beherrschen.

Mein vielleicht ja falscher Gedankengang:

Wenn einen bestimmte Version von Firefox mit einer bestimmten Rust-Version erstellt wurde [1], dann der Source Code
mit den Debian Änderungen verändert wird [2] wie @ tijuca dargelegt hat. und anschließend dann ein Debian Paket daraus gebaut wird, verstehe ich nicht, was daran auf die jeweilige Version bezogen, nicht reproduzierbar sein sollte.
Zumal auf der von dir verlinkten Seite [3] ja groß und breit steht:

Was du mir gerade als ein Ergebnis des Dunning-Kruger-Effekts vorgeworfen hast, sagt du nun selber
in sicherlich wohlgesetzteren, und wissenschaftlicher klingenden Worten. Aber in meiner Unwissenheit
scheint es mir doch dasselbe zu sein ?

MSfree hat geschrieben: 13.12.2021 11:13:51
Was man bei Debian dogmatisch vermeiden will, ist, daß z.B. der Firefox mit einem anderen (neueren) Rust-Compiler gebaut wird als der Rest der Debianpakete.

Genau so wird es aber kommen. Dann wird es ein rustc-mozilla (o.Ä.) geben und das alte rustc.
Das ist zwar hässlich, aber aber pragmatisc die beste Lösung, wenn man keine Grundsätze aufgeben will.

[dasebastian]

Prinzipiell könnte man es so machen. Aber wenn man das bei immer mehr Paketen macht, (...) Natürlich geht von einem Paket mehr nicht die Debian-Welt unter, aber Firefox ist eben ein prominentes Paket und wäre damit potenziell ein ziemlich großer Nagel im Debian-Sarg.

Ich verstehe diese Sichtweise.

Man (ich) könnte es aber auch so sehen:

Ihr bekommt mit Debian Stable eines der grundsolidesten und robusten Systeme, die es gibt, beim Webbrowser spendieren wir euch aber den neuesten, der am längsten Support bekommt - der wird sich dann auch extra von selber updaten, damit es da keine Lücken gibt.

Wäre für mich überhaupt kein Grund, an der Debian-Philosophie zu zweifeln oder die Distribution zu wechseln. Ein Sprung über den Schatten, ja, das schon, aber deshalb wäre Debian doch nicht schlechter!

PS: ich weiss schon, dass das nicht hier im Forum gelöst wird, nur so meine Denke. Und beim Sargzimmern sind wir doch noch nicht!

[hikaru]

Du solltest, bevor du mit angeeigneten psychologischen Parametern argumentierst, wenigsten vollständig argumentieren.

Gut, der Vollständigkeit halber:

Nun, ich habe keine Ahnung von derartigen Dingen. Aber ich denke, etwas logisches Denken zu beherrschen.

Du gestehst ein, dass mangelnde Kenntnisse dir kein Urteil erlauben, glaubst das aber durch "logisches Denken"* kompensieren zu können. Eben in diesem Glauben manifestiert sich der Dunning-Kruger-Effekt, was du hier demonstrierst:

Mein vielleicht ja falscher Gedankengang:

Wenn einen bestimmte Version von Firefox mit einer bestimmten Rust-Version erstellt wurde [1], dann der Source Code
mit den Debian Änderungen verändert wird [2] wie @ tijuca dargelegt hat. und anschließend dann ein Debian Paket daraus gebaut wird, verstehe ich nicht, was daran auf die jeweilige Version bezogen, nicht reproduzierbar sein sollte.

Wenn man, wie Debian, das Ziel hat, reproduzierbare Pakete zu erstellen, dann muss man sicherstellen, dass die Build-Tools zur Verfügung stehen. Aus Debians Sicht bedeutet das, dass sie im Debian-Repo vorhanden sind, denn über alle anderen Quellen hat man keine Kontrolle. Die könnten also morgen weg sein.


*) Was hier ein Euphemismus für die Behauptung ist, dass keine Kenntnisse für ein Urteil nötig seien.

[mcb]

Ich möchte gar nicht streiten, aber der Einbau des neuen Firefoxes samt buildtools ist wohl recht aufwändig. Und kommt natürlich aus heiterem Himmel ...

- Firefox in die Backports
- Firefox nach Fasttrack
- ein Repro von Mozilla

Wäre ja auch möglich.

PS: https://tracker.debian.org/pkg/rustc-mozilla

Ich weiß nicht wie schnell die Backports freigeschaltet werden.

Edit kommt wohl über proposed updates:

Code: Alles auswählen

rmadison rustc-mozilla
rustc-mozilla | 1.51.0+dfsg1-1~deb10u1 | oldstable-new           | source, amd64
rustc-mozilla | 1.51.0+dfsg1-1~deb11u1 | buildd-proposed-updates | source, arm64, armel, armhf, i386, mips64el, mipsel, ppc64el
rustc-mozilla | 1.51.0+dfsg1-1~deb11u1 | proposed-updates        | source, amd64, arm64, armel, armhf, i386, mips64el, mipsel, ppc64el
rustc-mozilla | 1.51.0+dfsg1-1~deb11u1 | proposed-updates-debug  | source

[slu]

Ich könnte mir vorstellen das es am Samstag mit Point Release 11.2 [1] kommt.
1000472 macht jedenfalls Fortschritte

[1] https://lists.debian.org/debian-live/20 ... 00013.html

[Blue]

Ich könnte mir vorstellen das es am Samstag mit Point Release 11.2 [1] kommt.
1000472 macht jedenfalls Fortschritte

[1] https://lists.debian.org/debian-live/20 ... 00013.html

So ist es.

[MSfree]

Ein Upgrade auf meinem Bookworm hat heute morgen Firefox und Thunderbird auf die Version 91.4 gehievt. Mal sehen, wie lange es dauert, bis es nach Bullseye durchgesickert ist.

[dasebastian]

Super, das wird schon. Einzig die Kommunikation bleibt dabei mein Kritikpunkt am Debianteam, das hätte irgendwie (TM) breiter mitgeteilt werden sollen.

EDIT: Wie weiß ich allerdings auch nicht.

[mcb]

Mit dem neuen rustc-mozilla kann man auch ohne Programmierkenntnisse zumindest Thunderbird 91 unter bullseye bauen (es braucht noch ein paar selbst erstellte backports) und dauert ewig.

[hikaru]

Zur claws-mail-Diskussion:
viewtopic.php?t=182946

[dasebastian]

@hikaru:

Danke.

[dasebastian]

Hm, schade, beim Update zum Pointrelease war er nicht dabei.

[anmith]

Hallo,

Super, das wird schon. Einzig die Kommunikation bleibt dabei mein Kritikpunkt am Debianteam, das hätte irgendwie (TM) breiter mitgeteilt werden sollen.

EDIT: Wie weiß ich allerdings auch nicht.

auf debian.org ribt es eine Rubrik "Micronews" und eine Rubrik "Blog" - wären m.E. passende Informationskanäle.

[kvg]

Bin auch erstaunt, dass es nicht zum .2-Release geklappt hat. Ich hatte gehofft, dass der Sprung der ESR-Versionen mit allen dafür geschaffenen Zusatzpaketen da rein kommt, um eine aktuelle Distro zu haben. Ist aber natürlich nur meine Sicht als Desktop-Anwender, Server-Admins haben da vermutlich kein Problem mit...

[hikaru]

Wie bereits erwähnt, dass ein aktueller Firefox nach Testing rutscht war nur eine Frage der Zeit. Ob, und wenn ja wann er nach Stable kommt ist davon völlig unabhängig.

[electri]

Bin auch erstaunt, dass es nicht zum .2-Release geklappt hat.

Da gestern rustc-mozilla in proposed-Updates war, und somit vermutlich in Debian 11.2 enthalten sein wird, gehe ich davo aus, dass der aktuelle Firefox-ESR früher oder später im Security- oder Standard-Repo landen wird. Alles andere würde ja keinen Sinn machen, mit großem Aufwand ein zweites rust-Paket bereit zu stellen, wenn es dann nicht verwendet wird.

Edit: Oh offenbar ist 11.2 draußen, auch wenn ich noch keine Veröffentlichungsnachricht und noch kein iso-Image finden kann. Ändert an meiner Aussage aber nix

[mcb]

firefox-esr - Debian NEW package overview:

https://ftp-master.debian.org/new/firef ... b11u1.html

Also den Quellcode gibt es schon.

[electri]

Also den Quellcode gibt es schon.

Mehr als dass, Firefrox 91.4.1 ist frisch in stable-security eingetroffen
Siehe auch https://qa.debian.org/developer.php?log ... debian.org