neuer ff in Debian?

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
thoerb
Beiträge: 1153
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: neuer ff in Debian?

Beitrag von thoerb » 16.09.2020 18:32:37

mcb hat geschrieben: ↑ zum Beitrag ↑
16.09.2020 18:09:23
Sicherheitslücke ? Ich traue Mozilla soweit. 8)
Ich auch, sonst würde ich mir FF nicht nach /opt installieren.

Das Problem ist, dass wenn die Software nicht als root installiert wurde, jede andere Anwendung, die mit deinem User ausgeführt wird, deine Software manipulieren kann.

Schau hier, bestes Beispiel, da wurde ein Script ausgeführt, das einem anderen User einen SSH-Zugang erstellt. Genauso könnte so ein Script auch deinen Firefox löschen und durch einen ganz anderen Firefox ersetzen. Ohne dass du davon irgendwas mitbekommst. Aber das hatten wir in dem anderen Thread schon alles.

mcb
Beiträge: 164
Registriert: 25.06.2020 17:28:49

Re: neuer ff in Debian?

Beitrag von mcb » 16.09.2020 20:23:09

thoerb hat geschrieben: ↑ zum Beitrag ↑
16.09.2020 18:32:37
mcb hat geschrieben: ↑ zum Beitrag ↑
16.09.2020 18:09:23
Sicherheitslücke ? Ich traue Mozilla soweit. 8)
Ich auch, sonst würde ich mir FF nicht nach /opt installieren.

Das Problem ist, dass wenn die Software nicht als root installiert wurde, jede andere Anwendung, die mit deinem User ausgeführt wird, deine Software manipulieren kann.

Schau hier, bestes Beispiel, da wurde ein Script ausgeführt, das einem anderen User einen SSH-Zugang erstellt. Genauso könnte so ein Script auch deinen Firefox löschen und durch einen ganz anderen Firefox ersetzen. Ohne dass du davon irgendwas mitbekommst. Aber das hatten wir in dem anderen Thread schon alles.
Ja, das habe ich noch nicht bedacht ... aber wenn ein Script in meinem user Verzeichnis wütet habe ich wohl eh schon verloren ...

Benutzeravatar
ThorstenS
Beiträge: 2868
Registriert: 24.04.2004 15:33:31

Re: neuer ff in Debian?

Beitrag von ThorstenS » 16.09.2020 21:49:31

ich hab third-party software gerne unter /opt, weil ich die nicht in meiner Sicherung vom /home haben möchte.
Daher packe ich da auch python venvs hin, FF, TB, sophos antivirus , Citrix reciever etc. Alles Dinge, die ich eh automatisch installiere und somit nicht im Backup als exclude aufführen brauche.

Benutzeravatar
cosinus
Beiträge: 234
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: neuer ff in Debian?

Beitrag von cosinus » 16.09.2020 22:27:59

thoerb hat geschrieben: ↑ zum Beitrag ↑
16.09.2020 17:49:55
Im Ubuntu-Wiki wird empfohlen nach dem Aktualisieren der Installation in /opt, die Rechte wieder auf root zu setzen. Das finde ich persönlich auch richtig so, deswegen hatte ich darauf hingewiesen und dann begann die Diskussion.
Das wäre mir zu umständlich 8O
thoerb hat geschrieben: ↑ zum Beitrag ↑
16.09.2020 17:49:55
Aber dann schreiben sie:
Komplett umgehen kann man das Problem nur, wenn man das gewünschte Programm nicht nach /opt/, sondern ins eigene Homeverzeichnis installiert.
Und dann stellt das keine Sicherheitslücke mehr dar? 8O

Vielleicht kann mir das jemand erklären.
Ich seh da auch keinen großen Unterschied. Wenn ich in /opt/firefox Schreibrechte habe, dann ja kein anderer. Anders gesagt: man muss schon anderer Stelle irgendeinen Unsinn machen, nur damit ein Cracker meine Firefox-Installation manipuliert??! :mrgreen:
Arne

thoerb
Beiträge: 1153
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: neuer ff in Debian?

Beitrag von thoerb » 16.09.2020 23:50:58

mcb hat geschrieben: ↑ zum Beitrag ↑
16.09.2020 20:23:09
Ja, das habe ich noch nicht bedacht ... aber wenn ein Script in meinem user Verzeichnis wütet habe ich wohl eh schon verloren ...
Ich denke mir, je mehr ich abgesichert habe, umso weniger Schaden kann angerichtet werden. Auf der Autobahn löse ich auch nicht den Sicherheitsgurt, weil ich davon ausgehe, dass der mir bei hoher Geschwindigkeit eh nichts mehr bringt.

Benutzeravatar
cosinus
Beiträge: 234
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: neuer ff in Debian?

Beitrag von cosinus » 17.09.2020 01:54:56

thoerb hat geschrieben: ↑ zum Beitrag ↑
16.09.2020 23:50:58
mcb hat geschrieben: ↑ zum Beitrag ↑
16.09.2020 20:23:09
Ja, das habe ich noch nicht bedacht ... aber wenn ein Script in meinem user Verzeichnis wütet habe ich wohl eh schon verloren ...
Ich denke mir, je mehr ich abgesichert habe, umso weniger Schaden kann angerichtet werden. Auf der Autobahn löse ich auch nicht den Sicherheitsgurt, weil ich davon ausgehe, dass der mir bei hoher Geschwindigkeit eh nichts mehr bringt.
Also ich seh eher die Gefahr, dass man den Firefox dann nicht oder nicht mehr rechtzeitig updatet, weil es ja so umständlich ist, vor und nach dem Updaten ein chmod als root zu machen. Die ursprüngliche Idee war ja, dass man mit dem Autoupdate weniger Arbeit aber ASAP nen aktuellen Firefox hat. Das jetzt mit dem Sicherheitsgurt zu vergleichen find ich auch etwas unpassend. Es geht hier um einen Browser, nicht um Schreibrechte für das gesamte Verzeichnis /opt oder gar noch mehr.

Das Problem wäre auch nicht wirklich vorhanden, wenn bzgl Mozilla die Pakete schneller in den repos wären und man auch die Möglichkeit hätte, den Release-Firefox zu installieren und nicht nur die ESR-Variante.
Arne

Benutzeravatar
Tintom
Beiträge: 1966
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: neuer ff in Debian?

Beitrag von Tintom » 17.09.2020 09:36:52

cosinus hat geschrieben: ↑ zum Beitrag ↑
17.09.2020 01:54:56
Das Problem wäre auch nicht wirklich vorhanden, wenn bzgl Mozilla die Pakete schneller in den repos wären und man auch die Möglichkeit hätte, den Release-Firefox zu installieren und nicht nur die ESR-Variante.
Wenn Debian seine Haltung zu Software in stable nicht zugunsten des FF aufgeweicht hätte, wäre der in stable gar nicht erst vorhanden.

thoerb
Beiträge: 1153
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: neuer ff in Debian?

Beitrag von thoerb » 17.09.2020 12:54:53

cosinus hat geschrieben: ↑ zum Beitrag ↑
17.09.2020 01:54:56
Es geht hier um einen Browser, nicht um Schreibrechte für das gesamte Verzeichnis /opt oder gar noch mehr.
Das reicht mir aus um etwas Aufwand zu betreiben. Der Browser ist immerhin die Anwendung, die ich am meisten nutze und vor allem mit der ich persönliche Daten durch das Internet schicke.

Ich zitiere mal @wanne:
Nachdem der Browser verändert wrude ist er eben kein Browser mehr sondern ein Rundumschnüffelprogramm, dass üblicherweise z.B. alle Tastatureingaben und die Zwischenablage kopiert.

Benutzeravatar
cosinus
Beiträge: 234
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: neuer ff in Debian?

Beitrag von cosinus » 17.09.2020 13:56:49

thoerb hat geschrieben: ↑ zum Beitrag ↑
17.09.2020 12:54:53
Das reicht mir aus um etwas Aufwand zu betreiben. Der Browser ist immerhin die Anwendung, die ich am meisten nutze und vor allem mit der ich persönliche Daten durch das Internet schicke.
Wenn du meinst, dann mach es so. Ich werde den Firefox bei mir in opt mit mir als User lassen, v.a. damit ich keine Updates verpasse.
thoerb hat geschrieben: ↑ zum Beitrag ↑
17.09.2020 12:54:53
Ich zitiere mal @wanne:
Nachdem der Browser verändert wrude ist er eben kein Browser mehr sondern ein Rundumschnüffelprogramm, dass üblicherweise z.B. alle Tastatureingaben und die Zwischenablage kopiert.
Dir ist schon klar, dass das nicht gegen Manipulationen des Benutzerprofils hilft?
Witzigerweise sehe ich das gerade öfter bei Windows-Kisten im Trojaner-Board, dass ein spinnender Firefox nicht erst durch ein neues Profil wieder läuft, sondern erst wenn man auch den Firefox komplett neu installiert. Und dass obwohl man als User doch garnichts am Programmverzeichnis verändern darf.
Arne

thoerb
Beiträge: 1153
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: neuer ff in Debian?

Beitrag von thoerb » 17.09.2020 18:47:41

cosinus hat geschrieben: ↑ zum Beitrag ↑
17.09.2020 13:56:49
Wenn du meinst, dann mach es so. Ich werde den Firefox bei mir in opt mit mir als User lassen, v.a. damit ich keine Updates verpasse.
Gute Idee, mir ging es hier auch eigentlich nur darum[1] und mehr wollte ich gar nicht.

[1] viewtopic.php?f=29&t=178578#p1249310

tijuca
Beiträge: 148
Registriert: 22.06.2017 22:12:20

Re: neuer ff in Debian?

Beitrag von tijuca » 17.09.2020 19:58:49

cosinus hat geschrieben: ↑ zum Beitrag ↑
17.09.2020 01:54:56
Das Problem wäre auch nicht wirklich vorhanden, wenn bzgl Mozilla die Pakete schneller in den repos wären und man auch die Möglichkeit hätte, den Release-Firefox zu installieren und nicht nur die ESR-Variante.
Was ist den hier die Definition von "schneller"?

Firefox und Thunderbird sind keine kleinen Pakete und nehmen einiges an Zeit in Anspruch um die erwartete Qualität der Pakete bereitstellen zu können. Der Maintainer vom Firefox arbeitet zudem auch noch bei Mozilla, Firefox kommt unter anderem dadurch faktisch gleich dem Releasedatum in die Repos!
Das es den "nicht" ESR Firefox nicht für Stable gibt ist unter anderem der Policy geschuldet die eben für den Stable Zweig gilt. Das hindert aber niemanden daran gerne die Arbeit für einen Firefox in Backports zu machen. Das würde aber schon sehr oft an der Versionities scheitern die Mozilla bei den Abhängigkeiten betreibt. Das Rust, Cargo und Clang Universum ist ein extrem sich bewegendes Ziel. Und seit der letzten Version benötigt man auch noch NodeJS in einer recht aktuellen Version. Es ist also nicht einfach mal "nur" ein Firefox bereitzustellen. Ich denke eben auch, dass der übliche Benutzer von Stable eher ein kleines Interesse an eine aktuellen Firefox Rolling Relese (also nicht ESR) hat. Ich erwarte hier ein System was einfach funktioniert bei 95% meiner Anforderungen, für die anderen 5% benutze ich Testing.

mcb
Beiträge: 164
Registriert: 25.06.2020 17:28:49

Re: neuer ff in Debian?

Beitrag von mcb » 17.09.2020 20:54:43

Für Firefox Beta wäre der Debian-Prozess wohl z langsam, für Nightly erst recht ...

Die Update Geschwindigkeit beim ESR ist unter Debian völlig o.k. / bei Thunderbird auch

Benutzeravatar
cosinus
Beiträge: 234
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: neuer ff in Debian?

Beitrag von cosinus » 17.09.2020 22:05:37

tijuca hat geschrieben: ↑ zum Beitrag ↑
17.09.2020 19:58:49
cosinus hat geschrieben: ↑ zum Beitrag ↑
17.09.2020 01:54:56
Das Problem wäre auch nicht wirklich vorhanden, wenn bzgl Mozilla die Pakete schneller in den repos wären und man auch die Möglichkeit hätte, den Release-Firefox zu installieren und nicht nur die ESR-Variante.
Was ist den hier die Definition von "schneller"?

Firefox und Thunderbird sind keine kleinen Pakete und nehmen einiges an Zeit in Anspruch um die erwartete Qualität der Pakete bereitstellen zu können. Der Maintainer vom Firefox arbeitet zudem auch noch bei Mozilla, Firefox kommt unter anderem dadurch faktisch gleich dem Releasedatum in die Repos!
Das es den "nicht" ESR Firefox nicht für Stable gibt ist unter anderem der Policy geschuldet die eben für den Stable Zweig gilt. Das hindert aber niemanden daran gerne die Arbeit für einen Firefox in Backports zu machen. Das würde aber schon sehr oft an der Versionities scheitern die Mozilla bei den Abhängigkeiten betreibt. Das Rust, Cargo und Clang Universum ist ein extrem sich bewegendes Ziel. Und seit der letzten Version benötigt man auch noch NodeJS in einer recht aktuellen Version. Es ist also nicht einfach mal "nur" ein Firefox bereitzustellen. Ich denke eben auch, dass der übliche Benutzer von Stable eher ein kleines Interesse an eine aktuellen Firefox Rolling Relese (also nicht ESR) hat. Ich erwarte hier ein System was einfach funktioniert bei 95% meiner Anforderungen, für die anderen 5% benutze ich Testing.
Sry das sollte keine Kritik an Debian sein. Ich denke, dass Debian eine großartige Distri ist, eben weil sie auch so viel Wert auf Qualität legt.
Deswegen finde ich auch, kann man nicht erwarten, dass in nullkommanix die Updates auch in den repos einfließen, gerade beim Browser sollte das aber so sein wenn mozilla seinen Firefox patcht.

Ich möchte aber einen Release-Firefox haben. Auch in Debian. Irgendwelche unwahrscheinlichen/theoretischen Sicherheitslücken wie dass ich als User mein /opt/firefox ändern darf (auch unbefugt) sind mir daher lieber, als längere Zeit mit einem veralteten Firefox zu surfen. Aber welches Konzept besser ist, sollte jeder für sich entscheiden.
Arne

Antworten