neue Updatestrategie Firefox

[Alternativende]

Hallo zusammen,
wie bekannt geworden ist plant Mozilla eine veränderte Updatestrategie für den Firefox. Dadurch sollen künftig neben Sicherheitsupdates auch funktionale Verbesserungen implementiert werden.

Wie stellt sich Debian dazu? Wird man dann sich den Aufwand machen und diese Updates "zerstückeln"?

[gms]

Wie stellt sich Debian dazu? Wird man dann sich den Aufwand machen und diese Updates "zerstückeln"?

mit Debian habe ich ja offiziell nichts am Hut, daher kann ich auf diese ( für mich absurd klingende ) Frage auch nur mit einer Gegenfrage antworten:
Warum sollte Debian sich bei allen anderen Paketen vom Stable-Zweig diese Mühe machen ( z.B auch beim Linux-Kernel ), nur aber beim Firefox nicht ? Warum soll sich das Debian-Sicherheitsteam auch noch mit funktionellen Änderungen herumplagen ?

Gruß
gms

[Meillo]

Gibt's Gründe von Mozilla dafür?

Denn: Wenn neue Funktionen in alte Versionen fließen, wofür brauche ich denn dann noch neue Versionen? Irgendwie scheint mir, dass Mozilla da ins eigene Bein schießt.

[123456]

Rolling Release?

[Danielx]

wie bekannt geworden ist plant Mozilla eine veränderte Updatestrategie für den Firefox.

Wo kann ich das nachlesen?

Dadurch sollen künftig neben Sicherheitsupdates auch funktionale Verbesserungen implementiert werden.

Das war bisher zumindest teilweise auch schon so.
Hört sich für mich jetzt so an, als ob damit jetzt nicht nur Kleinigkeiten gemeint sind, sondern größere Änderungen.

Wird man dann sich den Aufwand machen und diese Updates "zerstückeln"?

Das ist jetzt schon so, da in den Aktualisierungen schon bisher nicht nur Sicherheits-Patches in den Aktualisierungen waren, sondern auch andere Änderungen.
Diese Sicherheits-Patches zu extrahieren war auch bisher schon mit einigem Aufwand verbunden, wobei der Aufwand mit der Zeit steigt, da sich die Version in Debian dann immer mehr von der aktuellen Version von Mozilla unterscheidet.
Sollten allerdings zukünftig auch größere Änderungen in den Aktualisierungen enthalten sein, kann das ernsthafte Probleme bereiten, denn wenn z.B. eine Sicherheitslücke in einer älteren Version von Mozilla entdeckt wird, auf dem die Version von Debian basiert aber diese Sicherheitslücke in der aktuellen Version von Mozilla nicht mehr zu finden ist, da diese durch eine größere Veränderung zufällig heraus gefallen ist, dann wird es auch keinen Sicherheits-Patch (in welcher Form auch immer) von Mozilla dafür geben und Debian müsste diesen evtl. selbst erstellen, was dann noch mehr Aufwand bedeuten würde.

Gruß,
Daniel

[GoKi]

wie bekannt geworden ist plant Mozilla eine veränderte Updatestrategie für den Firefox.

Wo kann ich das nachlesen?

http://www.computerworld.com/s/article/ ... ev_process

[hikaru]

Ich weiß ich wiederhole mich ...
Sollte man sich wegen der Releasepolitik von Mozilla nicht langsam mal von Firefox/Iceweasel verabschieden?

[GoKi]

Es zwingt dich ja niemand, das Programm zu benutzen? Wenn Du damit meinst, dass man es aus den Repos entfernen sollte, dann wäre ich dafür es zu behalten und es beim Auftreten einer Sicherheitslücke aus stable zu entfernen. Sicherheitsupdates könnten dann vielleicht über volatile erfolgen.

[hikaru]

Nein, ich will das Paket nicht aus den Repos haben sondern nur, dass es nicht bei der Hühnerinstallation mitinstalliert wird. So dass blutige Anfänger von vornherein einen anderen Browser verwenden oder bei der Suche nach Firefox auf die Supportproblematik aufmerksam werden.
Nach volatile gehört ein Mainstreambrowser wie Firefox/Iceweasel mMn ohnehin. Das macht aber nur Sinn wenn es dafür über den gesammten Supportzeitraum des Distributionsreleases auch Sicherheitspatches gibt und nicht (wie aktuell der Fall) nur über den Supportzeitraum des Browserreleases.

[uname]

Zum Release "Squeeze" könnte man ja darüber nachdenken, ob nicht

http://packages.debian.org/de/squeeze/epiphany-browser

der alleinige Standard-Browser wird.

Da er ab Squeeze wohl Webkit statt XULRunner/Gecko nutzt sehe ich auch keine Verbindung mehr mit dem Firefox/Iceweasel-Browser. Oder liege ich da falsch?

[hikaru]

Zum Release "Squeeze" könnte man ja darüber nachdenken, ob nicht

http://packages.debian.org/de/squeeze/epiphany-browser

der alleinige Standard-Browser wird.

Das ist der richtige Ansatz, aber zu kurz gedacht. Wenn man kein Gnome-Nutzer ist wird man sich oft nicht das ganze Gtk-Zeug an Bord holen wollen. Den Standardbrowser müsste man dann je nach DE individuell festlegen.

[uwepr]

Seid gegrüßt,
von den WebKit-Browsern könnte vielleicht Arora ein Kandidat für KDE sein, wenn's nicht der gute alte Konqueror sein soll. Für Gnome könnte man auch über Midori nachdenken.
Viele Grüße!
Uwe Pr.

[Danielx]

Dadurch sollen künftig neben Sicherheitsupdates auch funktionale Verbesserungen implementiert werden.

Mit 3.6.4 wird es dann wahrscheinlich so weit sein:
http://www.heise.de/newsticker/meldung/ ... 82595.html

Gruß,
Daniel

[Danielx]

Firefox 3.6.4 wurde übrigens inzwischen veröffentlicht:
http://www.heise.de/newsticker/meldung/ ... 27530.html

Gruß,
Daniel

[123456]

Firefox 3.6.4 wurde übrigens inzwischen veröffentlicht

sogar schon 3.6.6

[MrGerardCruiz]

Also das sieht schwierig aus für Debian. Ubuntu hat ja schon reagiert und eine neue Updatestrategie für Firefox (und evt. andere Pakete) angedeutet.
Gut mir kanns egal sein, ich nutze eh einen Webkit Browser (Midori unter Gnome und Konqueror unter KDE) aber die breite Masse setzt immer noch auf FF / Iceweasel.

[Danielx]

sogar schon 3.6.6

Ja, da wurde aber nur der IPC-Plugin Timeout von 10 auf 45 Sekunden erhöht:
http://hg.mozilla.org/releases/mozilla- ... c48654336d

Gruß,
Daniel

[Evox]

Mein 3.6.4 inzwischen 5 Bau Version läuft jetzt langsam wirklich stabil wozu brauch ich alle Naselang ne neue Version ? anstatt die vorhandene Version sauber einzupflegen
Meiner einer legt mehr auf Wert Stabilität als den selbst auferlegten Hyph Kindergarten mit zu machen

Geiler Update Wahn immer das neuste ! ( Komme gerade nicht auf den Namen wer das Vormacht )
Aber das man sich sehr oft ein Haufen komplett Instabilen B... S... Installiert bekommt man nicht mit

Gruss

[123456]

Ja, da wurde aber nur der IPC-Plugin Timeout von 10 auf 45 Sekunden erhöht:
http://hg.mozilla.org/releases/mozilla- ... c48654336d

nur? das reicht doch für ein Update.

[plankton]

Welchen Browser kann ich denn überhaupt nehmen, bei dem ich davon ausgehen kann, dass er bis zum EOL von Lenny, also vermutlich Ende 2011 (?), mit Sicherheits-Updates versorgt wird?

Firefox 3.0.x ist inzwischen von Seiten Mozillas tot. Da wird durch Debian vielleicht noch ein bisschen was zurück portiert werden, aber bestimmt nicht 1,5 Jahre lang. War bei Etch und Iceweasel 2.0.x ja genauso. Epiphany ist ebenfalls Gecko 1.9, also gleiches Problem. Midori ist nicht in Lenny.

Bleibt dann überhaupt noch was? (Für GTK? Oder generell überhaupt?)

Das ist ein echtes Problem, es fehlt ein "LTS"-Browser (so wie der IE - ha, ha, kleiner Scherz ). Mit der Umstellung der Release-Politik von Mozilla wird es aber nicht besser, sondern noch schlimmer: siehe Verzögerung von Firefox 3.6.4 wegen neuer Features, die nicht fertig wurden, und damit Verzögerung von Sicherheits-Updates.

Wie kann man das lösen, außer neue Major-Versionen in stable zu akzeptieren? Wird Webkit länger gepflegt als Gecko?

[catdog2]

es fehlt ein "LTS"-Browser

Schwierig, die Entwicklungsgeschwindigkeit in diesem Bereich ist im Moment hald sehr hoch, da hat keiner Zeit alten code zu Pflegen.

(so wie der IE - ha, ha, kleiner Scherz )

Eben gibts doch schon, Sicherheitslücken kriegst du ja automatisch wenn keine updates mehr kommen

[gms]

Firefox 3.0.x ist inzwischen von Seiten Mozillas tot. Da wird durch Debian vielleicht noch ein bisschen was zurück portiert werden, aber bestimmt nicht 1,5 Jahre lang.

Selbst Oldstable wird von Debian sicherheitstechnisch gewartet. Solange sich also ein Firefox ( eigentlich Iceweasel ) darin befindet, kannst du davon ausgehen, daß alle Security Patches zurückportiert werden, die für diese Version zur Verfügung stehen. Zusätzlich müssen natürlich auch andere Sicherheitslücken, für die von Mozilla keine Sicherheits Patches zur Verfügung gestellt werden, von Debian selber behoben werden.
Wenn das zu große Änderungen nach sich ziehen würden, und daher die Gefahr bestehen würde, daß dadurch neue Probleme entstehen, dann bleibt Debian noch ein letzter Ausweg: Eine prominent plazierte Ankündigung an alle Nutzer, daß der Sicherheitssupport für dieses Produkt eingestellt wird. z.B:

As indicated in the Etch release notes, security support for the Mozilla products in the oldstable distribution needed to be stopped before the end of the regular Etch security maintenance life cycle. You are strongly encouraged to upgrade to stable or switch to a still supported browser.

Gruß
gms

[Langly]

Firefox 3.0.x ist inzwischen von Seiten Mozillas tot. Da wird durch Debian vielleicht noch ein bisschen was zurück portiert werden, aber bestimmt nicht 1,5 Jahre lang.

Selbst Oldstable wird von Debian sicherheitstechnisch gewartet. Solange sich also ein Firefox ( eigentlich Iceweasel ) darin befindet, kannst du davon ausgehen, daß alle Security Patches zurückportiert werden, die für diese Version zur Verfügung stehen.

Du sagst es ja selbst: die *für diese Version* zur Verfügung stehen. Ein paar Beiträge vorher wurde aber der Fall geschildert, dass eine Sicherheitslücke nur in alten Versionen von Firefox/Iceweasel auftaucht, die durch eine Umstellung im Code der neueren Versionen so nicht behoben werden muss. Dann gibt es also nur noch die Möglichkeit, darauf zu vertrauen, dass ein mir persönlich unbekannter Maintainer bei Debian sich des Problems annimmt und selbst einen Patch schreibt - wie gut oder schlecht dieser Patch ist, steht dann wieder in den Sternen. Ich denke da an solche Pannen wie bei dem kaputten SSH-Patch [1] vor ein paar Monaten, dessen Ursache ein zu eifriger Debianentwicklicker war und der über lange Zeit zu unsicheren Schlüsseln unter Debian Stable führte.

Ich bin seit Jahren zufriedener Nutzer von Firefox/Iceweasel, aber diese ganze Problematik hat mich inzwischen dazu gebracht, auf meinen eigenen sowie einigen zu betreuenden Rechnern im Kreise der Familie nur noch das orginale Firefox direkt von Mozilla einzusetzen, das ich dann für die einzelnen Rechner kompiliere. Aber mal ehrlich: bei mittlerweile fast mehreren Updates in der Woche ist das ein Zeitaufwand, den ich mir gerne vom Hals schaffen möchte und in Zukunft auch werde.

Bleibt also nur der Umstieg auf einen alternativen, in meinem Fall qt-basierten, Browser. Wenn ich in den Quellen für Lenny stöbere, ist die Auswahl da aber auch stark eingeschränkt. Der Konqueror ist fürs Internet imho mehr Qual als Hilfe, und Arora ist in der frühen Version aus den Stablequellen kaum produktiv benutzbar (und spätere Versionen nicht gegen die Libs aus Stable kompilierbar). Eine Lösung dafür suche ich immer noch, aber ich befürchte schon, diese wird sich erst mit dem Release von Squeze ergeben.

[1] http://www.heise.de/security/meldung/Sc ... 07332.html

[gms]

Warum hast du den Firefox selber kompiliert ? Wenn du einen qt Browser suchst, warum nimmst du nicht Opera ?

[Langly]

Ich habe selber kompiliert, weil die fertigen Versionen von Mozilla seltsamerweise nicht starten wollten. Das ist auch etwas, worum ich mich schon ewig kümmern wollte. Letzten Endes ist aber nicht das Kompilieren die Arbeit, sondern die Tatsache, dass die von mir betreuten Rechner z.T. ein ganzes Stück auseinander stehen und ich mich dann erst einmal ins Auto setzen kann, weil ich nur für den blöden Firefox keine Ports für SSH ins Internet weiterleiten möchte.

Opera ist sicherlich eine Alternative, nur mir persönlich ein wenig unsympatisch, weil eben der Quellcode nicht verfügbar ist. Wirklich frei ist etwas anderes.

Ich komme gerade eben von der lieben Verwandtschaft und habe bei der Gelegenheit auch gleich nach dem Rechner dort geschaut. Dort wird aus Angst, etwas zu verpassen, noch auf Adobes Flash bestanden, nur seltsamerweise scheint sich der neue Firefox damit überhaupt nicht mehr zu verstehen. Videos auf Seiten wie youtube werden nur noch sehr sporadisch korrekt angezeigt, meistens bleibts bei einer schwarzen Box, wo das Video sein sollte.

Kann gut sein, dass der Fehler bei mir liegt, aber langsam wird mir der Aufwand, noch den Firefoxbrowser zu betreiben, wirklich zu viel.