cronoik hat geschrieben: 15.08.2020 06:12:25
Angenommen es ist alles in Ordnung, dann sind die von dir gelisteten Sachen als nicht kritisch eingestuft worden. Falls nicht, dann muss hier bei Security mal nachgehaken werden (oder besser selbst Maintainer werden und unterstuetzen), da Chromium auch in den Releasenotes empfohlen wird [2].
[..]
[2]
https://www.debian.org/releases/stable/ ... r-security
Auf diese Sicherheitsunterstützung von Chromium in Debian würde ich nicht viel geben. Wie gesagt, der Code wie er in Debian vorliegt war vor drei Jahren unverständlich und die "Maintainance" des QA-Teams scheint sich darauf zu beschränken, blind neuen zerwürgten Code ins Debian-Repo zu kippen und dann den Compiler anzuwerfen. Es wurden zu Wheezy-Zeiten nicht mal FTBFS-Probleme abseits von x86 behandelt (irgendwie hatten sie es trotzdem geschafft, Binärpakete für armel/hf anzubieten, die aber nach Hinweis auf das FTBFS-Problem entfernt wurden, offenbar ohne sich näher mit den Gründen zu beschäftigen).
Da habe ich beim Firefox-Team in Debian einen ganz anderen Eindruck. Dort werden selbst einige der datenschutztechnischen Experimente die Mozilla den Usern gen mal unterschiebt rausgefiltert. Dass Mozilla selbst jetzt ausgerechnet beim Sicherheits-Team spart ist dem natürlich nicht zuträglich.
cronoik hat geschrieben: 15.08.2020 06:12:25
Ich zeig mal auf snap
Snap, Appimage und Konsorten sind als Freemdquellen zu werten. Klar, kann man machen. Aber man muss sich dann eben immer überlegen, ob man dem Anbieter vertraut. Und das ist ein technisch tieferes Vertrauen als bei "normalen" Fremdquellen, denn in diesen Images stecken nicht nur die Pakete die man als Enduser eigentlich will, sondern auch noch einige Libs, die der Fremdanbieter ebenfalls warten muss.
Traue ich es also dem Fremdanbieter zu, nicht nur $Browser zu warten, sondern auch $LibABC bis $LibXYZ? In Debian gibt es dafür ~1000 Leute. Wieviele hat der Fremdanbieter?
fossonly hat geschrieben: 15.08.2020 17:36:32
Ich für meinen Teil habe mich von den großen Browsern verabschiedet, da mir die Entwicklung zunehmend missfällt. Nicht nur das man es weitgehend mit enormer Bloatware zutun hat, nein, auch die politische Führung sehe ich angesichts dubioser Funktionalitäten mit Sorge, wenn man sowohl bei Firefox als auch Chromium hinsichtlich der Konfiguration, unzähligen Mist abwürgen muss damit die Browser endlich mal die Klappe halten und nur noch tun was sie regulär ausschließlich sollten. Daher bin ich seit geraumer Zeit sehr zufrieden mit Epiphany (Gnome-Web), habe nun einen extrem schlanken Browser der sich auf das wesentliche konzentriert, und das ohne mich mit jeder neuen Version mit lästigen Beigaben zu beglücken. Ein Browser sollte ab Werk vertrauenswürdig sein, und dem Nutzer nicht noch in Sachen Datenschutz und Privatsphäre in den Rücken fallen.
Epiphany basiert auf Webkit. Das bekommt aber in Debian keine Sicherheitsupdates, weil diese sich nicht sinnvoll zurückportieren lassen. Daher ist Webkit in Debian, wie in vielen anderen Distributionen auch als unsicher anzusehen. [1] Von deinem schlanken und vermeintlich sicheren Webkit-Browser hast du also nichts, wenn die darunterliegende Webkit-Engine bereits anfängt unangenehm zu riechen.
Einen Webkit-Browser unter Debian würde ich nur unter Unstable und vielleicht noch Testing als sicher ansehen, aber nicht unter Stable.
[1]
https://blogs.gnome.org/mcatanzaro/2016 ... y-updates/