Das Chromium-Update-Problem

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
kvg
Beiträge: 35
Registriert: 15.07.2018 11:33:56

Das Chromium-Update-Problem

Beitrag von kvg » 24.07.2021 17:38:00

Hallo!
Vorneweg möchte ich bemerken, dass es keine Kritik ist, sondern eine Lösungssuche für mich. Ich sehe auch, dass die Chromium-Aktualisierungsfrequenz nicht mit der von Debian und den Freiweilligen kaum kompatibel sind. Also:

Ich nutze hauptsächlich Firefox, bin aber beruflich wegen einiger weniger, aber unvermeidbarer Seiten parallel Chromium vorhalten. Die Chromium-Updatehistorie für Debian ist ziemlich gemischt, es gibt Phasen, wo neue Updates zügig kommen, und dann passiert wieder monatelang nichts, und es gibt auch keine Reaktionen auf die entsprechenden Bugreports. Aktuell ist Debian lt. Tracker wieder zwei Hauptversionen und >50 Sicherheitslücken hinterher.

Ist nach dem Release von Bullseye evtl. Besserung in Sicht? Welche Lösungen gibt es sonst aus Sicht des Anwenders? Chromium in einem Flatpak, Snap, Appimage? Das Paket von Mint mit entsprechendem Repository? ...?

Ich habe dazu schon einige Diskussionen auf Reddit, in anderen Foren und den Bugreports zur Kenntnis genommen, die aber auch keine befriedigende Lösung haben.

Deshalb frage ich hier nach Hilfestellungen.

Vielen Dank!
KVG

mcb

Re: Das Chromium-Update-Problem

Beitrag von mcb » 24.07.2021 18:33:31

Das Chromium flatpak ist recht gut und wird auch aktuell gehalten. Ich bin damit zufrieden 8O Flatpak 8O Fremdquelle 8O https://flathub.org/home

Und die Jungs und Mädels antworten auch wenn du Wünsche und/oder Probleme hast.

Hier hat schonmal einer gefragt. [gelöst] Chromium - debianforum.de:

viewtopic.php?f=37&t=178317&hilit=chromium+sicherheit

kvg
Beiträge: 35
Registriert: 15.07.2018 11:33:56

Re: Das Chromium-Update-Problem

Beitrag von kvg » 25.07.2021 10:47:02

Hallo!
Da scheine ich meine Forensuche schlecht verschlagwortet zu haben, der Thread ist mir durchgegangen… Danke für den Link!

Obwohl Snap einer der Gründe war, den Sprung zu Debian zu machen, tendiere ich doch dazu, und nicht zu Flatpak, wenn bei Debian keine Besserung in Sicht ist. Rein aus dem Bauch heraus würde ich denken, dass Canonical doch mehr Ressourcen hat, um ein so zentrales aber komplexes Paket mit allen Bibliotheken aktuell zu halten. Bei Flatpak blicke ich die Struktur nicht, wer da dahinter steht.
Korrigiert mich, wenn ich mit dem Bauchgefühl daneben liege.

Generell bin ich aber doch verwundert, dass Debian einerseits Chromium als Browser neben Firefox auch mit als gewartet bezeichnet, eine so exponierte Software dann aber so holpern lässt. Wie gesagt, keine Beschwerde, nur das Bedürfnis zu verstehen. Aber die Frage hat sich wie gesagt schon an zig anderen Stellen tot gelaufen.

Kann noch jemand was zu meinen Flatpak-vs-Snap-Überlegungen oben sagen?
Und wäre evtl. doch das Mintpaket eine Alternative? So richtig begeistert bin ich von Snap, Flatpak und Co nicht.

Danke, viele Grüße und schönen Sonntag!
KVG

mcb

Re: Das Chromium-Update-Problem

Beitrag von mcb » 25.07.2021 11:19:28

Ja snap hatten wir auch schon viewtopic.php?f=37&t=181132&hilit=chromium+sicherheit

Wenn du reddit gelesen hast weißt du das (meiste) ja schon.

- es gibt noch Chromium direkt von google als Archive - aber nur die Beta ? https://github.com/mb291/chromium-lates ... /update.sh
- oder eben Chrome direkt von google (ist eine Fremdquelle - ich hatte ihn mal drauf - google macht dir dein System nicht kaputt ...)

Ist google drin, aber die Sicherheitsupdates kommen schnell ...

https://tracker.debian.org/pkg/chromium Stand heute: 67 bekannte Lücken inklusive aktiv ausgenutzter Zero days ...

Um keinen Fremdquellen zu vertrauen blebt wohl nur selbst zu kompilieren. Bei dem Klotz bestimmt lustig. https://gsdview.appspot.com/chromium-br ... ite.tar.xz

Berichte auf jeden Fall mal.

mcb

Re: Das Chromium-Update-Problem

Beitrag von mcb » 25.07.2021 11:27:50

PS: Ich habe gerade im Diskmanager Threat gesehen du nutzt kein Gnome, dann hat Flatpak auch weniger Vorteile gegenüber snap.

tijuca
Beiträge: 296
Registriert: 22.06.2017 22:12:20

Re: Das Chromium-Update-Problem

Beitrag von tijuca » 25.07.2021 12:06:15

kvg hat geschrieben: ↑ zum Beitrag ↑
25.07.2021 10:47:02
Generell bin ich aber doch verwundert, dass Debian einerseits Chromium als Browser neben Firefox auch mit als gewartet bezeichnet, eine so exponierte Software dann aber so holpern lässt. Wie gesagt, keine Beschwerde, nur das Bedürfnis zu verstehen. Aber die Frage hat sich wie gesagt schon an zig anderen Stellen tot gelaufen.
Nun, Debian ist eben nicht Canonical, Suse und RedHat. Debian basiert komplett auf freiwilliger Arbeit ohne Verpflichtungen oder finanzielle Anreize, und es ist eines der Grundpunkte in Debian, dass niemand in Debian zu etwas gezwungen werden kann. So auch nicht der/die Maintainer vom Paket chromium.

Wie erkannt ist Chromium eine sehr große Ansammlung von Source Code mit extrem vielen Sicherheitsrelevanten Komponenten, das ist nur mit recht viel Zeit und hohem Engagement zu bewerkstelligen. Sehr oft werden Maintainer von solchen Paketen durch den Arbeitgeber entsprechend freigestellt damit die nötige Arbeit erledigt werden kann, in der Regel haben genau diese Arbeitgeber dann wiederum ein starkes Interesse dass das Paket X auch in Debian aktuell ist. Hin und wieder wechseln aber Arbeitnehmer auch mal den Arbeitgeber, dann kann es vorkommen, dass ein Paket dann doch für einige Zeit verwaist.

Wenn man diesen Zustand geändert sehen will bleibt immer noch die Möglichkeit selbst aktiv zu werden, so auch beim Paket chromiun passiert. Ohne viel Hingabe und Arbeit am Paket von Michel Le Bihan hätte es die letzten Aktualisierungen nicht gegeben.

Auf der anderen Seite ist der momentane Zustand von Chromium in Debian nun auch wieder nicht so schlecht. Ist nun wirklich nicht, dass man Chromiun gar nicht mehr benutzen sollte oder kann, wenn dies so wäre hätte man dieses Paket aus dem Archiv entfernt.

kvg
Beiträge: 35
Registriert: 15.07.2018 11:33:56

Re: Das Chromium-Update-Problem

Beitrag von kvg » 25.07.2021 13:22:49

Hallo!
@mcb: ja, ich habe auch schon überlegt, ob ich nicht einfach Chrome nehme und gut ist es. Ist zwar auch nicht die Lösung der Wahl, aber ein so tiefgreifendes ideologisches Problem habe ich damit dann doch nicht, und es erscheint mit auch etwas widersinnig, für die Handvoll beruflich zu nutzender "Chrome-Only-Seiten" die Klimmzüge mit Snap/Flatpak und Co zu machen. Ich werde berichten, wenn ich auf Snap/Flatpak einschwenke.

@tijuca: Wie gesagt, ich bin weit davon entfernt zu fordern oder zu kritisieren, da ich es weder besser machen könnte, noch sonst irgendeine sinnvolle Gegenleistung bringen könnte.
Das die Freiwilligen Betreuer viel Arbeit in das Chrome-Paket stecken (müssen) um es zu pflegen sehe ich auch, ebenso, dass auch einige andere Pakete länger Lücken mit niedrigen CVSS-Werten haben.
Allerdings kriegt man von allen Seiten immer wieder die Notwendigkeit aktueller Sicherheitsupdates, gerade auch für Browser, eingebläut, sodass einem der Security-Bug-Tracker dann schon Kummer macht. Ich bin da -glaube ich- genau in der Gruppe des ungesunden Halbwissens, der soetwas Sorgen macht. Weniger Interessierte würden es nicht mitbekommen, und Profis können die Relevanz der ausstehenden Lücken vermutlich besser einschätzen. Ich habe halt den Reflex "Browser - Sicherheitslücken - davon min. 1 Zero-Day: schnell updaten".

Grüße
KVG

mcb

Re: Das Chromium-Update-Problem

Beitrag von mcb » 25.07.2021 18:59:10

Ich habe dafür auch keine Patentlösung. Persönlich fände ich es schön wenn das Debianpaket flotter aktualisiert wird.

- Flatpak funktionert
- Chrome funktioniert auch (Ist Google drin)
- Snap habe ich selbst mal probiert ? und fand es doof

- deb Pakete für andere Distributionen wollte ich nicht

- Chromium selbst bauen ? Wohl der "richtige" Weg

Offene Zero Days möchte ich nicht haben. Stable hin oder her ...

JTH
Moderator
Beiträge: 3007
Registriert: 13.08.2008 17:01:41
Wohnort: Berlin

Re: Das Chromium-Update-Problem

Beitrag von JTH » 25.07.2021 19:12:29

mcb hat geschrieben: ↑ zum Beitrag ↑
25.07.2021 18:59:10
- Chromium selbst bauen ? Wohl der "richtige" Weg
Das ist für die allerwenigsten Benutzer der richtige Weg. Du musst dich ständig informieren, ob es eine neue Version gibt - sonst bist du auch nicht "besser", als die Debian-Maintainer - das ganze richtig konfigurieren und evtl. für dein System patchen und brauchst gerade bei den Browsern (denke ich) auch ein halbwegs potentes System zum einigermaßen schnellen Bauen. Den Aufwand sollte man nicht unterschätzen.
Manchmal bekannt als Just (another) Terminal Hacker.

mcb

Re: Das Chromium-Update-Problem

Beitrag von mcb » 25.07.2021 21:38:30

JTH hat geschrieben: ↑ zum Beitrag ↑
25.07.2021 19:12:29
mcb hat geschrieben: ↑ zum Beitrag ↑
25.07.2021 18:59:10
- Chromium selbst bauen ? Wohl der "richtige" Weg
Das ist für die allerwenigsten Benutzer der richtige Weg. .... Den Aufwand sollte man nicht unterschätzen.
Ja - ich kann es nicht (habe ich ja auch in den anderen beiden Threats geschrieben). Kann aber für Andere nicht entscheiden über welche Quelle sie installieren wollen/werden.

kvg
Beiträge: 35
Registriert: 15.07.2018 11:33:56

Re: Das Chromium-Update-Problem

Beitrag von kvg » 27.07.2021 09:47:52

Kleine Randnotiz noch: bei meinen Recherchen am Wochenende habe ich gelesen, dass auch die Repositories von Fedora 34 angeblich noch bei Chrome 90.x stehen.
KVG

Benutzeravatar
MSfree
Beiträge: 10657
Registriert: 25.09.2007 19:59:30

Re: Das Chromium-Update-Problem

Beitrag von MSfree » 27.07.2021 10:39:05

kvg hat geschrieben: ↑ zum Beitrag ↑
27.07.2021 09:47:52
am Wochenende habe ich gelesen, dass auch die Repositories von Fedora 34 angeblich noch bei Chrome 90.x stehen.
Vielleicht solltest du nicht so sehr auch die Versionsnummer schauen. Die Maintainer der Linuxdistributionen erzeugen normalerweise einen Fork so einer Hauptrevision und pflegen dort eigenen Patches ein, um Sicherheitslöcher zu flicken. Es kann also durchaus passieren, daß eine vermeintlich alte, aber gepflegte Version, sicherer ist als eine brandneue.

Es kann auch sein, daß ein Chrome 90.x für Fedore sichererer ist als ein Chrome 90.x für Debian. Die Distributoren informieren sich zwar gegenseitig über entdeckte Lücken und geben sich an die anderen Distributoren weiter, zeitlich synchronisiert ist das jedoc nicht.

mcb

Re: Das Chromium-Update-Problem

Beitrag von mcb » 27.07.2021 11:19:42

kvg hat geschrieben: ↑ zum Beitrag ↑
27.07.2021 09:47:52
Kleine Randnotiz noch: bei meinen Recherchen am Wochenende habe ich gelesen, dass auch die Repositories von Fedora 34 angeblich noch bei Chrome 90.x stehen.
KVG
Fedora ist andererseits Flatpak Vorreiter:

- Firefox wird als Flatpak ausgeliefert.

Ev. gehen die davon aus das die Nutzer Chromium sowieso als Flatpak nutzen.

Benutzeravatar
MSfree
Beiträge: 10657
Registriert: 25.09.2007 19:59:30

Re: Das Chromium-Update-Problem

Beitrag von MSfree » 27.07.2021 11:51:23

mcb hat geschrieben: ↑ zum Beitrag ↑
27.07.2021 11:19:42
Fedora ist andererseits Flatpak Vorreiter:
Flatpak verbessert nichts an der Sicherheitsproblematik. Im Gegenteil, es macht sie sogar schlimmer. Ein Flatpak muß alles mitbringen, damit ein Programm ohne weitere Abhängigkeiten läuft. Es muß also eine eigene C-Runtime-Umgebung, eine eigene TLS-Bibliothek, eine eigene Dekompressionsbibliothek etc mitbringen.

Während z.B. die libz auf deinem Linuxsystem bereits durch Updates von Sicherheitslücken befreit wurde, schlummern die Fehler im Flatpak noch lustig vor sich hin, weil das je seine eigene Version mitbringt, die aber noch nicht geflickt wurde. Am schlimmsten ist dann, das bei 3 Flatpaks 4 unterschiedliche Versionen einer Bibliothek auf dem System schlummern, die alle in einem anderen Versionszustand sind und du nichtmal weißt, wer was nutzt. Die Updates deiner Linuxdistribution lassen dich im Glauben, daß alles repariert sei, verlieren aber die Flatpaks komplett aus dem Auge.

Flatpaks und Co. können also nicht der Weisheit letzter Schluß sein. Ich würde sowas nur nutzen wollen, wenn es keine Alternative gibt. Die nativen zur Distribution gehörenden Pakete sind also immer sicherer.

Natürlich, wenn ich auf die Nutzung einer ganz bestimmten Software angewiesen bin, für die es keine Debianpakete aus den Debianrepositories gibt, dann werde ich Flatpak und Co. nutzen müssen. Für alle anderen Fälle sollte man einen ganz großen Bogen um dieses Zeug machen.

mcb

Re: Das Chromium-Update-Problem

Beitrag von mcb » 27.07.2021 12:44:35

MSfree hat geschrieben: ↑ zum Beitrag ↑
27.07.2021 11:51:23
mcb hat geschrieben: ↑ zum Beitrag ↑
27.07.2021 11:19:42
Fedora ist andererseits Flatpak Vorreiter:
Flatpak verbessert nichts an der Sicherheitsproblematik. Im Gegenteil,.................

Natürlich, wenn ich auf die Nutzung einer ganz bestimmten Software angewiesen bin, für die es keine Debianpakete aus den Debianrepositories gibt, dann werde ich Flatpak und Co. nutzen müssen. Für alle anderen Fälle sollte man einen ganz großen Bogen um dieses Zeug machen.
Gut ich meinte mit 'Vorreiter' nicht positiv, aber Fedara/Redhat hat den Weg eben eingeschlagen, warum auch immer.

Hier geht es ja um einen Chromium Browser für Debiain auf aktuellem Patchlevel. Ich bezeifel das "[2021-05-21] chromium 90.0.4430.212-1 MIGRATED to testing (Debian testing watch) " Stand heute sicher ist.

kvg
Beiträge: 35
Registriert: 15.07.2018 11:33:56

Re: Das Chromium-Update-Problem

Beitrag von kvg » 14.08.2021 10:32:36

Nur kurz: ich für mich habe jetzt Googles Chrome inkl. Google-Repository installiert.
Ist zwar nicht die reine Lehre, aber für die wenigen nötigen Seiten, unter Sicherheitsaspekten und abgewogen gegen den sonstigen Aufwand ist das für mich die beste Lösung.
Beobachte die Chromium-Updateentwicklung in Debian aber weiter.
Grüße
KVG

mcb

Re: Das Chromium-Update-Problem

Beitrag von mcb » 11.09.2021 20:39:09

kvg hat geschrieben: ↑ zum Beitrag ↑
14.08.2021 10:32:36
Nur kurz: ich für mich habe jetzt Googles Chrome inkl. Google-Repository installiert.
Ist zwar nicht die reine Lehre, aber für die wenigen nötigen Seiten, unter Sicherheitsaspekten und abgewogen gegen den sonstigen Aufwand ist das für mich die beste Lösung.
Beobachte die Chromium-Updateentwicklung in Debian aber weiter.
Grüße
KVG
Wie zufrieden oder nicht bist du denn? Das Flatpak Geraffel nervt mich gerade nur noch. Und beim eingebautem Chromium sieht es überhaupt nicht gut aus.

https://tracker.debian.org/pkg/chromium

Sportlicht 100 Lücken offen. :facepalm:

Code: Alles auswählen

rmadison chromium
chromium   | 57.0.2987.98-1~deb8u1   | oldoldoldstable    | amd64, i386
chromium   | 70.0.3538.110-1~deb9u1  | oldoldstable       | armhf
chromium   | 73.0.3683.75-1~deb9u1   | oldoldstable       | source, amd64, arm64, i386
chromium   | 73.0.3683.75-1~deb9u1   | oldoldstable-debug | source
chromium   | 89.0.4389.114-1~deb10u1 | oldstable          | source, amd64, arm64, armhf, i386
chromium   | 89.0.4389.114-1~deb10u1 | oldstable-debug    | source
chromium   | 90.0.4430.85-1~deb10u1  | oldstable-new      | source, amd64, i386
chromium   | 90.0.4430.93-1~deb10u1  | oldstable-new      | source, amd64, armhf, i386
chromium   | 90.0.4430.212-1~deb10u1 | oldstable-new      | source, amd64, armhf, i386
chromium   | 90.0.4430.212-1         | stable             | source, amd64, arm64, armhf, i386
chromium   | 90.0.4430.212-1         | testing            | source, amd64, arm64, armhf, i386
chromium   | 90.0.4430.212-1         | unstable           | source, amd64, arm64, armhf, i386
chromium   | 90.0.4430.212-1         | unstable-debug     | source
marc@mb:~$ 

tijuca
Beiträge: 296
Registriert: 22.06.2017 22:12:20

Re: Das Chromium-Update-Problem

Beitrag von tijuca » 12.09.2021 07:15:18

mcb hat geschrieben: ↑ zum Beitrag ↑
11.09.2021 20:39:09
Sportlicht 100 Lücken offen. :facepalm:
Und auch die die noch nicht entdeckt sind!

Die Arbeit in Debian ist freiwillig und lebt von denen die diese Arbeit machen, nur nochmal zur Erinnerung.

mcb

Re: Das Chromium-Update-Problem

Beitrag von mcb » 12.09.2021 10:12:17

tijuca hat geschrieben: ↑ zum Beitrag ↑
12.09.2021 07:15:18
mcb hat geschrieben: ↑ zum Beitrag ↑
11.09.2021 20:39:09
Sportlicht 100 Lücken offen. :facepalm:
Und auch die die noch nicht entdeckt sind!

Die Arbeit in Debian ist freiwillig und lebt von denen die diese Arbeit machen, nur nochmal zur Erinnerung.
Ja - gut also besser kein Chromium.

kvg
Beiträge: 35
Registriert: 15.07.2018 11:33:56

Re: Das Chromium-Update-Problem

Beitrag von kvg » 01.10.2021 21:43:21

Hallo!
Sorry, etwas verspätet, aber hier die Antwort:
Das offizielle Chrome-Repository ist völlig problemlos und immer aktuell. Habe die pragmatische Wahl nicht bereut!
Grüße
KVG

mcb

Re: Das Chromium-Update-Problem

Beitrag von mcb » 02.10.2021 10:51:35

Ja - ich habe es auch aufgegeben mit Chromium.

Bei Chrome ist leider mehr Google drin, sollte man nicht vergessen, dafür weniger bekannte Zerodays ...

Code: Alles auswählen

chromium:
  Installed: (none)
  Candidate: (none)
  Version table:
     93.0.4577.82-1 -1
          1 https://deb.debian.org/debian unstable/main amd64 Packages
     90.0.4430.212-1 -1
        500 https://deb.debian.org/debian bullseye/main amd64 Packages
google-chrome-stable:
  Installed: 94.0.4606.71-1
  Candidate: 94.0.4606.71-1
  Version table:
 *** 94.0.4606.71-1 200
         -1 https://dl.google.com/linux/chrome/deb stable/main amd64 Packages
        100 /var/lib/dpkg/status

Das hier habe ich noch gefunden:

"Scripts to download and run the latest Linux build of Chromium. A substitute for Chrome Canary on Linux. "

Ist dann aber auch nicht stable, sondern bleeding edge ...

https://github.com/mb291/chromium-latest-linux

willy4711

Re: Das Chromium-Update-Problem

Beitrag von willy4711 » 02.10.2021 11:05:59

Tipp:
Nutze Vivaldi. Ist auf Basis von Chromium, wird aber sehr oft aktualisiert.
Und hat eine richtig gute Oberfläche.
Test:
https://www.kuketz-blog.de/vivaldi-date ... eck-teil5/
https://www.kuketz-blog.de/vivaldi-date ... /#comments

mcb

Re: Das Chromium-Update-Problem

Beitrag von mcb » 02.10.2021 20:09:52

willy4711 hat geschrieben: ↑ zum Beitrag ↑
02.10.2021 11:05:59
Tipp:
Nutze Vivaldi. Ist auf Basis von Chromium, wird aber sehr oft aktualisiert.
Und hat eine richtig gute Oberfläche.
Test:
https://www.kuketz-blog.de/vivaldi-date ... eck-teil5/
https://www.kuketz-blog.de/vivaldi-date ... /#comments
Jo - das klingt nicht schlecht. Das die auf Google zugreifen für die Add-ons stört mich nicht. So dokmatisch muß man nicht sein.

Schade finde ich es nach wie vor mit dem Chromium - als Zweitbrowser gefällt er mir ansich.

willy4711

Re: Das Chromium-Update-Problem

Beitrag von willy4711 » 03.10.2021 09:10:51

Nur mal als Beweis, dass da ziemlich intensiv gearbeitet wird:
Seit 1.September gab es allein 4 Updates

Code: Alles auswählen

[UPGRADE] vivaldi-stable:amd64 4.2.2406.52-1 -> 4.2.2406.54-1
[UPGRADE] vivaldi-stable:amd64 4.2.2406.48-1 -> 4.2.2406.52-1
[UPGRADE] vivaldi-stable:amd64 4.2.2406.44-1 -> 4.2.2406.48-1
[UPGRADE] vivaldi-stable:amd64 4.1.2369.21-1 -> 4.2.2406.44-1

mcb

Re: Das Chromium-Update-Problem

Beitrag von mcb » 07.11.2021 19:46:36

Das Team überlegt jetzt den Security Support einzustellen:

#998732 - RM chromium -- RoQA; unmaintained - Debian Bug report logs:
https://bugs.debian.org/cgi-bin/bugrepo ... bug=998732

Hoffentlich läuft es bei Firefox besser.

Antworten