Ist ein ESR-Firefox sicherer?

[buhtz]

Soweit ich ESR Versionen - hier im Beispiel der Firefox - verstehe, hat das nicht mit der Sicherheit zu tun.
Bei ESR geht es doch um die Langzeit-Stabilität von Schnittstellen und Funktionalitäten.

Verstehe ich das soweit richtig?

Das bedeutet also, dass eine ESR Version nicht unbedingt sicherer, i.S. von weniger (un)bekannter Sicherheitslücken, ist, als eine mainline Version?

EDIT:
Das BSI empfiehlt wohl auch den ESR. Warum?

Bin ich da mal wieder zu naiv? Neu bekannte Sicherheitslücken werden doch selbstverständlich (?) in allen Versionen (mainline & ESR) gestopft - oder?

[MSfree]

Soweit ich ESR Versionen - hier im Beispiel der Firefox - verstehe, hat das nicht mit der Sicherheit zu tun.

Doch. Diese Extended Support Releases sind auf einem "alten" Zustand eingefrorene Versionen, die keine Zusatzfunktionen mehr bekommen, aber Sicherheitspatches eingepflegt werden.

Das bedeutet also, dass eine ESR Version nicht unbedingt sicherer,

Doch, sie ist sicherer. Die neueren Firefoxe bekommen auch neue Funktionen. Neue Funktionen heißt leider immer auch neue Fehler und damit neue Sicherheitslücken zusätzlich zu denen, die in alten Versionen ohnehin drin sind.

Die ESR-Versionen haben diese neuen Funktionen nicht, damit auch keine neuen Sicherheitslücken. Dadurch, daß hier ständig alte Sicherheitslücken geschlossen werden, aber keine neuen dazu kommen, ist der ESR zwangsläufig sicherer.

Das BSI empfiehlt wohl auch den ESR. Warum?

Beim BSI reagiere ich immer allergisch, denen kann ich nicht soweit trauen wie ich den werfen könnte. Was soll man schon von einem Verein erwarten, der den deutschen Geheimdiensten unterstellt ist? Wer hier den Interessenskonflikt nicht selbst sieht....

Warum die ESR emfpehlen, ist aber aus den o.g. Gründen durchaus nachvollziehbar.

[Ibex]

Das verstehst Du richtig, es geht beim ESR um den Langzeit Support. Ähnlich wie bei Debian kann man dann hoffen, dass länger gepflegte Versionen mit der Zeit auch weniger Fehler haben, aber eine Gewähr dafür gibt nicht.

Warum das BSI den empfiehlt weiß ich nicht, ich gehe aber davon aus, das es eher darum geht, das man im Unternehmensumfeld keinen Browser installieren will, der sich ständig verändert, und die BSI Empfehlung das berücksichtigt.

Als Privatperson spricht nichts dagegen, die aktuelle Line zu installieren, wenn man nicht gegeben häufige Updates hat.

[TomL]

Als Privatperson spricht nichts dagegen, die aktuelle Line zu installieren, wenn man nicht gegeben häufige Updates hat.

Solange solche Umstände [1] nicht widerlegt sind, sprechen m.M.n. sehr eindrucksvolle Gründe dagegen, die aktuelle Linie zu installieren.... deshalb, weil die aktuelle Linie eben nicht aus dem Debian-Repo kommt.

viewtopic.php?p=1243489#p1243489

[tobo]

[...] BSI [...]. Was soll man schon von einem Verein erwarten, der den deutschen Geheimdiensten unterstellt ist? Wer hier den Interessenskonflikt nicht selbst sieht....

Das ist natürlich Quatsch - Das BSI ist dem Innerministerium unterstellt und nicht dem Verfassungsschutz oder gar den beiden anderen Nachrichtendiensten.

[Tintom]

EDIT:
Das BSI empfiehlt wohl auch den ESR. Warum?

Naja, der Code ändert sich beim ESR nicht, also muss man auch nicht dauernd den Staatstrojaner ändern, damit er lauffähig bleibt.

[Ibex]

Als Privatperson spricht nichts dagegen, die aktuelle Line zu installieren, wenn man nicht gegeben häufige Updates hat.

Solange solche Umstände [1] nicht widerlegt sind, sprechen m.M.n. sehr eindrucksvolle Gründe dagegen, die aktuelle Linie zu installieren.... deshalb, weil die aktuelle Linie eben nicht aus dem Debian-Repo kommt.

viewtopic.php?p=1243489#p1243489

Stimmt, da der aktuelle Firefox in Debian nur über eine Fremdquelle zu bekommen ist, sprechen natürlich gut Gründe dagegen. War mehr pauschal gemeint, das länger gepflegt nicht immer zwangsläufig sicherer bedeuten muss. Zumindest wird er ESR nicht als sicherer beworben, sondern nur als länger supportet.

Unter Ubuntu, die den aktuellen Firefox ausliefern, würde ich mir jedenfalls nicht die Mühe machen, aus Sicherheitsgründen den ESR zu installieren (und nein, die Diskussion, ob man aus Sicherheitsgründen Ubuntu installieren sollte, will ich hier lieber nicht eröffnen )

[DerChris]

Stimmt, da der aktuelle Firefox in Debian nur über eine Fremdquelle zu bekommen ist, sprechen natürlich gut Gründe dagegen.

Nicht ganz, es gibt ihn in sid: firefox