qupzilla stable/testing/unstable

[daniel h]

Hallo.

In den letzten Tagen habe ich mich recht intensiv mit qupzilla auseinander gesetzt. Was mir noch fehlt, was es auch gibt aber anscheinend nicht in qupzilla 1.6.6. (stable Release) ist die Möglichkeiten Webseiten in Sachen javascript zu white/blacklisten. Zumindest sehe ich keinen Weg.
Ein Fremdpaket kommt für mich nicht in Frage.
Wenn ich jetzt versuche qupzilla aus testing/unstable zu installieren will aptitude mir gleich noch nen Haufen anderen Kram aktualisieren. Das möchte ich wenns geht vermeiden. Was gar nicht geht ist das tlp entfernt werden soll. Suggests und Recommends sind ausgeschaltet.

Code: Alles auswählen

daniel@debian:~$ sudo aptitude -t testing install qupzilla 
Die folgenden NEUEN Pakete werden zusätzlich installiert:
  coinor-libcoinmp1v5{a} gcc-6-base{a} libapparmor1{a} libboost-date-time1.58.0{a} libboost-filesystem1.58.0{a} 
  libboost-iostreams1.58.0{a} libboost-system1.58.0{a} libclucene-contribs1v5{a} libclucene-core1v5{a} libcmis-0.5-5v5{a} 
  libdouble-conversion1{a} libetonyek-0.1-1{a} libglew1.13{a} libgltf-0.0-0v5{a} libhunspell-1.4-0{a} libicu55{a} 
  libinput-bin{a} libinput10{a} liborcus-0.11-0{a} libpcre16-3{a} libpng16-16{a} libproxy1v5{ab} libqt5core5a{a} 
  libqt5dbus5{a} libqt5gui5{a} libqt5network5{a} libqt5opengl5{a} libqt5printsupport5{a} libqt5qml5{a} libqt5quick5{a} 
  libqt5script5{a} libqt5sql5{a} libqt5sql5-sqlite{a} libqt5webkit5{a} libqt5widgets5{a} libqt5x11extras5{a} 
  libreoffice-style-galaxy{a} libssl1.0.2{a} libwacom-common{a} libwacom2{a} libwps-0.4-4{a} libxcb-icccm4{a} 
  libxcb-image0{a} libxcb-render-util0{a} libxcb-xkb1{a} libxkbcommon-x11-0{a} 
Die folgenden Pakete werden ENTFERNT:
  coinor-libcoinmp1{u} libattica0.4{u} libboost-date-time1.55.0{u} libboost-system1.55.0{u} libclucene-contribs1{u} 
  libclucene-core1{u} libcmis-0.4-4{u} libdbusmenu-qt2{u} libdlrestrictions1{u} libfam0{u} libgltf-0.0-0{u} libkdecore5{u} 
  libkdeui5{u} liborcus-0.8-0{u} libwps-0.3-3{u} 
Die folgenden Pakete werden aktualisiert:
  dbus libdbus-1-3 libncurses5 libncursesw5 libpci3 libqupzilla1 libreoffice-base-core libreoffice-calc libreoffice-common 
  libreoffice-core libreoffice-l10n-de libreoffice-style-tango libreoffice-writer libstdc++6 libtinfo5 libwebp5 
  libxkbcommon0 powertop qupzilla uno-libs3 
Die folgenden Pakete werden EMPFOHLEN, aber NICHT installiert:
  hunspell-af hunspell-an hunspell-ar hunspell-be hunspell-bg hunspell-bn hunspell-br hunspell-bs hunspell-ca hunspell-cs 
  hunspell-da hunspell-de-at hunspell-de-at-frami hunspell-de-ch hunspell-de-ch-frami hunspell-de-de hunspell-de-de-frami 
  hunspell-el hunspell-en-au hunspell-en-ca hunspell-en-gb hunspell-en-us hunspell-en-za hunspell-es hunspell-eu 
  hunspell-eu-es hunspell-fr-classical hunspell-fr-comprehensive hunspell-fr-modern hunspell-fr-revised hunspell-gd 
  hunspell-gl hunspell-gl-es hunspell-gu hunspell-he hunspell-hi hunspell-hr hunspell-hu hunspell-is hunspell-it 
  hunspell-kk hunspell-kmr hunspell-ko hunspell-lo hunspell-lt hunspell-ne hunspell-nl hunspell-no hunspell-oc hunspell-pl 
  hunspell-pt-br hunspell-pt-pt hunspell-ro hunspell-ru hunspell-se hunspell-sh hunspell-si hunspell-sk hunspell-sl 
  hunspell-sr hunspell-sv hunspell-sv-se hunspell-sw hunspell-te hunspell-th hunspell-uk hunspell-uz hunspell-vi 
  libqt5svg5 libreoffice-math libwacom-bin myspell-af myspell-bg myspell-ca myspell-cs myspell-da myspell-de-at 
  myspell-de-ch myspell-de-de myspell-de-de-1901 myspell-de-de-oldspell myspell-en-au myspell-en-gb myspell-en-us 
  myspell-en-za myspell-eo myspell-es myspell-et myspell-fa myspell-fo myspell-fr myspell-fr-gut myspell-ga myspell-gd 
  myspell-gv myspell-he myspell-hr myspell-hu myspell-hy myspell-it myspell-ku myspell-lt myspell-lv myspell-nb myspell-nl 
  myspell-nn myspell-pl myspell-pt-br myspell-pt-pt myspell-ru myspell-sk myspell-sl myspell-sw myspell-th myspell-tl 
  myspell-uk python3-uno qttranslations5-l10n 
20 Pakete aktualisiert, 46 zusätzlich installiert, 15 werden entfernt und 889 nicht aktualisiert.
110 MB an Archiven müssen heruntergeladen werden. Nach dem Entpacken werden 117 MB zusätzlich belegt sein.
Die folgenden Pakete haben verletzte Abhängigkeiten:
 pciutils : Hängt ab von: libpci3 (= 1:3.2.1-3) aber 1:3.3.1-1.1 soll installiert werden.
 ure : Hängt ab von: uno-libs3 (= 4.3.3-2+deb8u4) aber 5.1.4~rc1-1 soll installiert werden.
 libproxy1v5 : Kollidiert mit: libproxy1 aber 0.4.11-4+b2 ist installiert.
Die folgenden Aktionen werden diese Abhängigkeiten auflösen:

      Entfernen der folgenden Pakete:                             
1)      libqupzilla1                                              
2)      libreoffice-base-core                                     
3)      libreoffice-calc                                          
4)      libreoffice-common                                        
5)      libreoffice-core                                          
6)      libreoffice-l10n-de                                       
7)      libreoffice-style-tango                                   
8)      libreoffice-writer                                        
9)      pciutils                                                  
10)     qupzilla                                                  
11)     tlp                                                       
12)     ure                                                       

      Beibehalten der folgenden Pakete in ihrer aktuellen Version:
13)     libproxy1v5 [Nicht installiert]                           
14)     libqt5gui5 [Nicht installiert]                            
15)     libqt5network5 [Nicht installiert]                        
16)     libqt5opengl5 [Nicht installiert]                         
17)     libqt5printsupport5 [Nicht installiert]                   
18)     libqt5qml5 [Nicht installiert]                            
19)     libqt5quick5 [Nicht installiert]                          
20)     libqt5webkit5 [Nicht installiert]                         
21)     libqt5widgets5 [Nicht installiert]                        
22)     libqt5x11extras5 [Nicht installiert]                      
23)     libreoffice-style-galaxy [Nicht installiert]              

Da kann ich ja gleich Testing installieren... Hat da wer von euch einen Tipp? Was habe ich übersehen bzw nicht verstanden?

Grüße,
Daniel

[hikaru]

Hat da wer von euch einen Tipp?

Versuche, einen Backport zu bauen! Das Problem sind hier die Qt-Abhängigkeiten. Dem Stretch-Quellpaket ist offenbar die genaue Qt5-Version egal. Falls alle benötigten Pakete in Jessie verfügbar sind, sollte ein Backport also recht einfach sein.

Was habe ich übersehen bzw nicht verstanden?

Möglicherweise, dass Release-Mixes i.d.R. keine gute Idee sind.

[daniel h]

Möglicherweise, dass Release-Mixes i.d.R. keine gute Idee sind.

Doch, das weiß ich!
Mir ist diese Funktion aber wichtig bzw. es macht den Browser komfortabler.
Da Backports meines Wissens nach keine Sicherheitsaktualisierungen erhalten fällt das beim Thema Browser raus.

Auf diese Weise komme ich zu keiner Lösung. Ich recherchiere nochmal ob ich was übersehen habe.

[hikaru]

Da Backports meines Wissens nach keine Sicherheitsaktualisierungen erhalten fällt das beim Thema Browser raus.

Da du den Backport selbst erstellen würdest, müsstest du dich ohnehin selbst um die Fixes kümmern.
Unabhängig davon sind außer Firefox und Chromium in Debian aber ohnehin alle Browser als unsicher anzusehen, da nur bei diesen beiden zeitnah kritische Lücken gestopft werden.

Als Alternative zum Backport könntest du auch ein Stretch-chroot aufsetzen, und darin Qupzilla betreiben. Richtig umgesetzt lässt sich das völlig transparent gestalten, so dass du bei der Benutzung gar nichts von dem chroot merkst.

[jkoerner]

Ab Version 2.0 verwendet qupzilla anstatt des obsoleten und daher unsicheren qtwebkit die von chrome stammende qtwebengine. Der Eigenbau setzt qt-5.6 voraus. Diese Version gibt es allerdings erst in sid.
Das würde bedeuten, daß man zuerst qt-5.6 selbst bauen muß, danach qupzilla in der bislang letzten Version 2.0.1.
'N bisschen viel Aufwand für einen Browser...

Ich bin wegen der Sicherheitslücken von qtwebkit weg von otter und qupzilla hin zu chromium, werde aber, sobald qt-5.6 in testing erscheint das oben erwähnte Prozedere durchziehen und wieder qupzilla benutzen.

[daniel h]

Ich hab auch keinen Bock auf einen riesen Umweg für ein bißchen extra Funktion. Homebank konnte ich zb problemlos aus Testing übernehmen, hat aber auch keinen Zugang zum Internet.

Warum sollten die anderen Browser nicht zeitnah gepatcht werden? Sind doch letzten Endes genauso Pakete wie die anderen auch die genauso Lücken aufweisen können. Klingt ziemlich fahrlässig. Werd ich mal recherchieren.

Schade ists allemal, ich fühle mich mit qupzilla ziemlich wohl und habe seine Vorteile sehr genossen.

[daniel h]

Also ich habe jetzt mal genauer recherchiert und rausgefunden das andere Browser tatsächlich nicht regelmäßig gepatcht werden. Das wußte ich nicht. Hab jetzt qupzilla deinstalliert und setzte wieder auf Firefox.

Ich sehe da Debian in der Pflicht stärker zu informieren. Genau genommen gehören solche Pakete nicht in eine gut gepflegte Distribution!

[hikaru]

Ich sehe da Debian in der Pflicht stärker zu informieren.

Debian informiert darüber. [1]
Den Hinweis könnte man sicher prominenter gestalten. Schreib doch mal einen Bugreport!

Genau genommen gehören solche Pakete nicht in eine gut gepflegte Distribution!

Das grundlegende Problem ist Webkit. [2]
Was es bedeuten würde, das zu entfernen oder sauber zu pflegen, kann ich nicht abschätzen. Ich vermute, das würde mehr als die Hälfte der Desktopfunktionalität in Frage stellen. Gnome und Xfce stünden zumindest auf der Abschussliste, da Webkit-Software eigentlich nur in einer RR-Distribution gut zu pflegen ist. Und auch unter KDE würde wohl eine Menge Software zumindest vorübergehend wegfallen.


[1] https://www.debian.org/releases/stable/ ... r-security
[2] https://blogs.gnome.org/mcatanzaro/2016 ... y-updates/

[MSfree]

Und auch unter KDE würde wohl eine Menge Software zumindest vorübergehend wegfallen.

KDE basiert auf Qt und ab Qt5 gibt es sowieso kein Webkit mehr, Qt5 wurde auf Chromium umgestellt.

[jkoerner]

KDE basiert auf Qt und ab Qt5 gibt es sowieso kein Webkit mehr, Qt5 wurde auf Chromium umgestellt.

Nö!
Wenn, denn schon auf webengine von chrome. Und was einzelne Anwendungen ein„basteln“ hat mit der Version von qt auch nichts zu tun. Jeder hat die Freiheit sein eigenes Süppchen zu kochen. Man kann auch in eine qt-Oberfläche den Unterbau (Web-was-auch-immer) von z.B. dillo einstricken. Ist alles eine Frage der Vorlieben des Verantwortlichen.

Ergänzung:
Ich hab' auch weitergeforscht. Die qt5-webengine wird so schnell nicht als einzelnes Paket in vielen Distributionen erscheinen. Das Problem sind etliche Abhängigkeiten die nicht ohne weiteres von Debian und auch anderen übernommen und paketiert werden können.
Genauer gesagt sind über 250(!) Änderungen notwendig um das o.g. Paket als .deb zu paketieren. Der Aufwand ist immens und verständlicherweise den Paketbetreuern zu aufwändig.

Man kann, wenn man das unbedingt möchte, qtwebengine selbst bauen.

[daniel h]

Ich habe die Links gelesen und soweit es mein Englisch zulässt verstanden.

Debian extra nochmal auf das Problem hinzuweisen macht für mich keinen Sinn, das Problem ist ja bekannt. Man verlässt sich darauf das der Nutzer seinen Verstand im Umgang mit Debian/wem auch immer einsetzt. Ich setze schon seit einigen Jahren auf Debian und hätte wohl nie davon erfahren wenn ich diesen Beitrag nicht eröffnet hätte. Dabei habe ich schon viele Beiträge zum Thema Sicherheit gelesen. Mir kommt es so vor das man schon relativ tief in der Materie drin sein muß um solche Informationen zu bekommen, das prangere ich an.

Auf der anderen Seite, was nützt das? Ich als Endanwender bekomme ein "fertiges" Produkt mit all seinen Vor- und Nachteilen. Da siehts bei Cloused Source Software auch nicht anders aus.

Für mich bleibt wie so oft nur die eine Erkenntnis die richtigen Entscheidungen zu treffen und sich mit dem auseinanderzusetzen was da auf dem Tisch vor mir steht. Das ist bisher ganz gut gelungen. Damit hoffe ich den vielen einfach nur Anwendern einen Schritt voraus zu sein!

Grüße,
Daniel