Zuerst mal ist die einzige Aufgabe von Debian-Maintainern Sachen von Upstream für debian-User im Vergleich zu Upsream "besser" zu machen. Es liegt also in der Natur der Sache, dass debianpakete sich von den Sachen von upstream unterscheiden.
Das fängt bei Trivialitäten an, wie dass man eigene (einheitliche) mirrors bereit stellt, angenehme binary-debs statt umständlichen den von upstream meist bevorzugten source-tar-Bällen anbietet. Aber eben auch massiv was compiler Optionen und gelinkte libs angeht. Und es ist quasi logisch, dass upstream da nur selten die gleichen Ansichten hat. – Sonst hätten sie es ja von Anfang an anders angeboten. Klassich: Upstream liebt es immer den neusten Beta-scheiß mit Libs von vor 20 Jahren und ohne integration in irgend was zu verbreiten, da das die ist, die es am einfachsten macht Fehler bei Usern nachvollziehen und schnell beheben zu können.
Debian will dagegen möglichst universell nutzbare Software mit möglichst wenig Fehlern ausliefern. Entsprechend setzt man auf möglichst viel Kompatibilität und besser getestete Varianten.
Im Extremfall geht das so weit, dass Debian wie im Fall Firefox Funktionen die die Entwicklung einfacher machen zu Gunsten der Privatsphäre entfert. Debian ist hier klar der "Beschützer" der User vor Upstream.
Und hier kommt meine Kritik: Debian ist eben kein auf Sicherheit getrimmtes OpenBSD und kein auf Flexibilität getrimmtes Gentoo. Während der Maintainer durchaus recht hat, dass das Anfälligkeiten verhindert, wenn man gewisse Sachen nicht einkompiliert hat debian in fast allen Paketen im Vergleich zu den upstream defaults sogar zusätzliche Funktionen um mehr Kompatibiliät zu erreichen. Es bietet stille automatische Updates und keine use flags an, hat das aufwändig zu konfigurierende selinux aus, aktiviert manuell nach der Installation für viele Dienste sogar in den default Einstellungen Sachen, damit sie out of the box funktionieren. Debian User wollen, dass alles einfach mit allem funktioniert. Und genau das macht keepassXC nicht. Und sie sind eben nicht gewohnt, dass es, wie bei Gentoo zig unterschiedliche Paketvarianten gibt aus denen man wählen muss und besser die news lesen sollte.
Ein -minimal Paket wäre IMHO tatsächlich die bessere Variante. Relevant wird aber IMHO in erster Linie der upgrade Pfad, wenn er es so hintrickst, dass keepassXC nach keepassXC-Full upgraded.
Ano hat geschrieben: 
13.05.2024 10:09:31
Bevor ihr euch die Köpfe heiß redet und eventuell sogar alles doppelt, also nochmal auf Deutsch, diskutiert wird, könnt ihr euch und eure Meinung ja auch in dem im Video gezeigten Thread auf github beteiligen:
https://github.com/keepassxreboot/keepa ... sues/10725
Ne. Der Entwickler hat seine Meinung kund gegeben und dann gegen Antworten gesperrt. Insbesondere damit niemand den Unsinn von phoerious bloß stellen kann. – Selbstverständlich ist eine software sicher, wenn man die Sicherheitslücke per ifdev deaktiviert. Der Compiler bekommt nicht mal zu sehen, was zwischen den tags steht. Egal wie viel Müll da drin steht. Geschweige denn irgend etwas das das Endprodukt ausführt.
Die Antwort ist ähnlich trotzig wie die auf CVE-2023-35866. Auch wenn die KeepassXC-Leute IMHO recht haben und das kein Bug sondern ein Feature ist und somit nicht in eine CVE gehört: Die Kritik hat durchaus valide Punkte. Und der Ersteller hat zumindest behauptet, dass er in erster Linie eine Diskussion anstoßen will, wie man das besser macht.
keepassxc und 
