[gelöst]Firefox ESR versus Firefox manuell direkt installiert(Mozilla)

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
Antworten
Heliosstyx

[gelöst]Firefox ESR versus Firefox manuell direkt installiert(Mozilla)

Beitrag von Heliosstyx » 13.07.2019 18:15:30

Debian hat den Firefox ESR in den Repositories nicht aber die normale Version Firefox. Was ist unter sicherheitstechnischen Aspekten empfohlen bei Firefox ESR zu bleiben oder die Version direkt und manuell von Mozilla zu installieren? Wie erfolgen dann bei der manuellen Installation die Updates für Firefox was ist bei der manuellen Installation abseits der Repositories zu beachten und wie kann man dann Firefox wieder deinstallieren? Oder soll ich Chromium verwenden, der in Repositories vorhanden ist? 8O
Zuletzt geändert von Heliosstyx am 13.07.2019 19:02:56, insgesamt 1-mal geändert.

TomL

Re: Firefox ESR versus Firefox manuell direkt installiert(Mozilla)

Beitrag von TomL » 13.07.2019 18:29:30

Die wichtigere Frage ist, welche Verbesserungen erwartest Du, wenn Du den Repo->FF ESR gegen einen Web-Download-FF austauscht? Wenn so was gemacht werden soll, muss es ja konkrete Vorteile geben.... denn ohne Vorteile wär's ja eine ziemlich überflüssige Aktion. :roll: Also, was wären die Vorteile?

Benutzeravatar
prox
Beiträge: 371
Registriert: 08.07.2019 18:50:34
Lizenz eigener Beiträge: GNU General Public License

Re: Firefox ESR versus Firefox manuell direkt installiert(Mozilla)

Beitrag von prox » 13.07.2019 18:35:25

Die manuelle Installation von Firefox (idealerweise nach /opt, aber bloß nicht nach /usr) hat den Vorteil, dass Du, wenn Du den manuell installierten Browser verwendest, im Browserfenster des manuell installierten FF darüber informiert wirst, wenn eine neue Version des (manuell installierten) FF zum Download bereitsteht.

Die ESR-Version des FF hingegen wird nicht so oft mit Updates über die Repositories versorgt wie die Updates für einen manuell installierten FF. Die Updates für die ESR-Version sind meiner Meinung nach eine Sammlung mehrerer Updates für den manuell installierten FF. Deswegen wird ein manuell installierter FF schneller mit Updates versorgt als die ESR-Version, die über die Repositories bereitgestellt wird. Und deswegen ist ein manuell installierter FF sicherer als die ESR-Version aus den Repositories.

Wenn Du Beides hast (ESR-Version aus den Repositories und manuell installierten FF), dann bekommst Du über apt-get update und apt-get upgrade natüriich auch Updates für die ESR-Version, aber eben seltener als für die manuell installierte FF-Version.

Die Installation von FF in /opt (manuelle Installation) geht wie folgt:

1. Downgeloadete neueste FF-Version (ein bz2-Archiv) nach /opt per cp kopieren

2. Das vorhandene Verzeichnis /opt/firefox mit rm -R /opt/firefox löschen

3. Das nach /opt kopierte bz2-Archiv mit tar xjfv <Archivdatei.bz2> entpacken. Dadurch wird wieder das Verzeichnis /opt/firefox erzeugt und darin die neue Version des FF ausgepackt.

Benutzeravatar
rockyracoon
Beiträge: 1452
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Firefox ESR versus Firefox manuell direkt installiert(Mozilla)

Beitrag von rockyracoon » 13.07.2019 18:38:08

@prox:
...hat den Vorteil, dass Du, wenn Du den manuell installierten Browser verwendest, im Browserfenster des manuell installierten FF darüber informiert wirst, wenn eine neue Version des (manuell installierten) FF zum Download bereitsteht.
Ja, aber das klingt nach Selbstzweck ("l`art pour l`art") und beantwortet damit eigentlich nicht die Frage von TomL nach einem realen Vorteil.
Meine Erfahrung/Meinung ist, dass Firefox-ESR in Debian-Stable rasch Updates über Sicherheitsfunktionen bekommt und an Sonsten genau so produktiv arbeitet als der "manuelle" Firefox.
Ich habe in einem anderen Forum ("Fotografie") erlebt, dass User eines problemlos funktionierenden Bildbearbeitungsprogramms immer wieder auf "Updates" scharf waren.
Irgendwie scheint das so eine Art Zeitgeist zu sein, immer das "Neueste" haben zu müssen, selbst wenn dieser Trend manchmal eine Verschlimmbesserung bewirkt und in der Regel nur Gimmicks bereitstellt.
Was die Sicherheit betrifft, so würde ich zu Firefox-ESR raten, weil gerade der Browser eines der sensibelsten Teile des Betriebssystems darstellt.
Interessant sind dann bei Firefox zur Absicherung auch die AddOns.
In einem anderen Thread hatte ich dazu vor Kurzem geschrieben:
Den Browser sollte man imho über Firejail laufen lassen.
Bei mir sind standardmäßig zusätzlich im Browser aktiviert:
- uBlock Origin
- Https Everywhere
- I don`t care about cookies
- Vergiß Mein Nicht (Cookie Management)
Das dürfte als täglicher Alu-Hut genügen.
Nur für sehr seltene Fälle kommen zum Einsatz:
- NoScript
- uMatrix

Heliosstyx

Re: Firefox ESR versus Firefox manuell direkt installiert(Mozilla)

Beitrag von Heliosstyx » 13.07.2019 18:54:51

Besten Dank für eure hilfreichen ujnd klaren Antworten.

Auf die Frage zu den Vorteilen: Wenn man die ESR Version mit der normalen FF Version vergleicht, dann sieht man ganz schnell, dass die normale Version immer die neuesten Features(auch Sicherheitseinstellungen) bereit stellt (genaueres entnimmt man den in Deutschland sehr bekannten Zeitschriften "Computer Bild", "PC Welt", "CHIP" etc.). Habe ich das richtig verstanden, wenn man FF manuell installiert, erhält man auch automatisch Updates? Was haltet ihr von Chromium?

Dass der Zeitgeist oft gebietet, immer das Neueste haben zu wollen, ist richtig, aber für mich ist das nicht so wichtig, denn sonst würde ich nicht Debian verwenden, sonst wäre ich extrem süchtig nach einer "Rolling Release" Distro. Mir ist wichtig ein sicheres Produkt zu haben, das möglichst einfach einzustellen ist.

TomL

Re: Firefox ESR versus Firefox manuell direkt installiert(Mozilla)

Beitrag von TomL » 13.07.2019 19:00:38

rockyracoon hat geschrieben: ↑ zum Beitrag ↑
13.07.2019 18:38:08
Ja, aber das klingt nach Selbstzweck ("l`art pour l`art") und beantwortet damit eigentlich nicht die Frage von TomL nach einem realen Vorteil. Meine Erfahrung/Meinung ist, dass Firefox-ESR in Debian-Stable rasch Updates über Sicherheitsfunktionen bekommt und an Sonsten genau so produktiv arbeitet als der "manuelle" Firefox.
Ja, ich glaube, genau so ist es. Soweit ich das verstanden habe, bekommt der ESR ebenfalls unverzüglich alle sicherheitsrelevanten Patches, die auch der reguläre FF erhält. Das der reguläre FF trotzdem noch mehr Updates bekommt, liegt meines Wissens daran, dass er einfach nur unter permanenter Entwicklung leidet... soll heissen, da wird ständig dran rumgebaut und rumgeschraubt, in der Richtung, was sich Mozilla als Verbeserung verspricht... aber genau damit werden natürlich auch wieder neue Fehler eingebaut, die halt dann wieder via Update korrigiert werden müssen. Ich persönlich halte den ESR für die bessere Wahl... und zwar solange, bis der normale FF eine Funktion enthält, die ich benötige, der FF ESR aber nicht bietet.
Heliosstyx hat geschrieben: ↑ zum Beitrag ↑
13.07.2019 18:54:51
Mir ist wichtig ein sicheres Produkt zu haben, das möglichst einfach einzustellen ist.
Dan würde ich beim FF ESR aus dem Debian-Repo bleiben und hätte darin das größte Vertrauen.
Zuletzt geändert von TomL am 13.07.2019 19:05:21, insgesamt 1-mal geändert.

Benutzeravatar
prox
Beiträge: 371
Registriert: 08.07.2019 18:50:34
Lizenz eigener Beiträge: GNU General Public License

Re: Firefox ESR versus Firefox manuell direkt installiert(Mozilla)

Beitrag von prox » 13.07.2019 19:04:40

rockyracoon hat geschrieben: ↑ zum Beitrag ↑
13.07.2019 18:38:08
Interessant sind dann bei Firefox zur Absicherung auch die AddOns.
In einem anderen Thread hatte ich dazu vor Kurzem geschrieben:
Den Browser sollte man imho über Firejail laufen lassen.
Bei mir sind standardmäßig zusätzlich im Browser aktiviert:
- uBlock Origin
- Https Everywhere
- I don`t care about cookies
- Vergiß Mein Nicht (Cookie Management)
Das dürfte als täglicher Alu-Hut genügen.
Nur für sehr seltene Fälle kommen zum Einsatz:
- NoScript
- uMatrix
Ich verwende den FF im so genannten Privaten Modus. Die neueste Version (und auch leicht ältere) des FF bietet Cookie-Ablehnung Dritter, Cookie-Löschung bei Beenden des FF, (Versuch des) Unterdrücken(s) von Tracking, (Versuch des) Unterdrückens von Cryptomining, (Versuch des) Unterdrückens von Identifizierern (Fingerprinter) (was immer das ist, keine Ahnung). Deswegen habe ich keine Add-Ons im FF installiert.

Benutzeravatar
prox
Beiträge: 371
Registriert: 08.07.2019 18:50:34
Lizenz eigener Beiträge: GNU General Public License

Re: Firefox ESR versus Firefox manuell direkt installiert(Mozilla)

Beitrag von prox » 13.07.2019 19:06:43

Heliosstyx hat geschrieben: ↑ zum Beitrag ↑
13.07.2019 18:54:51
Habe ich das richtig verstanden, wenn man FF manuell installiert, erhält man auch automatisch Updates?
Ja, aber nur, wenn der manuell installierte FF geöffnet ist. Ich lese täglich www.heise.de, da wird auch über FF-Updates informiert.

TomL

Re: Firefox ESR versus Firefox manuell direkt installiert(Mozilla)

Beitrag von TomL » 13.07.2019 19:15:57

prox hat geschrieben: ↑ zum Beitrag ↑
13.07.2019 19:06:43
Ja, aber nur, wenn der manuell installierte FF geöffnet ist. Ich lese täglich www.heise.de, da wird auch über FF-Updates informiert.
Das hat aber den Nachteil, dass man einer fremden Institution (hier (nur) Mozilla) erlauben muss, die auf meinem PC installierte Software-Basis zu verändern... und wenn der FF dann auch noch außerhalb vom /home liegt, und zwar in /opt (also in /home fände ich persönlich ja ziemlich dumm), dann erhält der Anwender ein Ändern-Recht auf ein Verzeichnis und für ein Binary, für das eigentlich root verantwortlich ist. Ich bewerte sowas schlichtweg als grob fahrlässig, ganz so wie das unter buntu obligatorische Einbinden irgendwelcher ppa's.

Wenn man sich Gedanken über Sicherheit macht, gehört für mich definitiv dazu, keiner fremden Institution das Recht zu geben, automatisch meinen Rechner resp. die installierte Softwarebasis zu verändern. Faktisch gebe ich damit die Kontrolle über die Sicherheit des Rechner aus der Hand. Ich bewerte das als deutlich kritischer, als wenn ich den echten Free-FF selber von der Mozilla-Web-Site runterlade und manuell installiere, weil ich dabei sicher bin, dass ich selber die echte öffentliche Version geupdated habe. Kommt der Update automatisch, muss ich einfach glauben, dass es zweifelsfrei die reguläre Version ist und diese wirklich von Mozilla kommt. Natürlich kann man sagen "ist ja nur mozilla" ... und dabei ignorieren, dass es vielleicht die Möglichkeit gibt, dass sich jemand als Mozilla ausgibt. Nee, das wäre in der heutigen Zeit nix für mich.
Zuletzt geändert von TomL am 13.07.2019 19:22:52, insgesamt 1-mal geändert.

Benutzeravatar
prox
Beiträge: 371
Registriert: 08.07.2019 18:50:34
Lizenz eigener Beiträge: GNU General Public License

Re: [gelöst]Firefox ESR versus Firefox manuell direkt installiert(Mozilla)

Beitrag von prox » 13.07.2019 19:22:41

@ TomL: Deswegen gehe ich ja immer auf mozilla.com, wenn ich weiß, dass es ein Update für den FF gibt, lade das Update dort runter nach /home als normaler User, melde mich dann als root an und kopiere den Download von /home nach /opt und entpacke ihn in /opt als User root.

Ein Installieren (Entpacken) über die Meldung "Hey, wir haben einen FF-Update für Dich" im geöffneten FF in /opt geht gar nicht, weil ich als normaler User dabei angemeldet bin. Als normaler User kann ich nichts in /opt entpacken.

TomL

Re: [gelöst]Firefox ESR versus Firefox manuell direkt installiert(Mozilla)

Beitrag von TomL » 13.07.2019 19:24:25

prox hat geschrieben: ↑ zum Beitrag ↑
13.07.2019 19:22:41
Ein Installieren (Entpacken) über die Meldung "Hey, wir haben einen FF-Update für Dich" im geöffneten FF in /opt geht gar nicht, weil ich als normaler User dabei angemeldet bin. Als normaler User kann ich nichts in /opt entpacken.
:THX:

Find ich gut... kann man wahrscheinlich guten Gewissens so machen. Und wer kein Bock auf dieses manuelle Heckmeck hat, ist mit dem FF ESR bestens bedient. :wink: Ich machs auch so, seit langem, allerdings mit Palemoon.

Benutzeravatar
prox
Beiträge: 371
Registriert: 08.07.2019 18:50:34
Lizenz eigener Beiträge: GNU General Public License

Re: [gelöst]Firefox ESR versus Firefox manuell direkt installiert(Mozilla)

Beitrag von prox » 13.07.2019 19:26:24

TomL hat geschrieben: ↑ zum Beitrag ↑
13.07.2019 19:24:25
:THX:
prox hat geschrieben: ↑ zum Beitrag ↑
13.07.2019 19:22:41
Ein Installieren (Entpacken) über die Meldung "Hey, wir haben einen FF-Update für Dich" im geöffneten FF in /opt geht gar nicht, weil ich als normaler User dabei angemeldet bin. Als normaler User kann ich nichts in /opt entpacken.
Find ich gut... kann man wahrscheinlich guten Gewissens so machen. Und wer kein Bock hat, auf dieses manuelle Heckmeck, ist mit dem ESR bestens bedient. :wink:
ja, diese Meinung kann ich gut verstehen, ich finde es ja auch ab und an nervig, wenn mal wieder innerhalb von ein paar Tagen eine neue FF-Version von Mozilla veröffentlicht wird ;-)

Benutzeravatar
rockyracoon
Beiträge: 1452
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: [gelöst]Firefox ESR versus Firefox manuell direkt installiert(Mozilla)

Beitrag von rockyracoon » 13.07.2019 19:41:50

@Heliosstyx:
Wenn man die ESR Version mit der normalen FF Version vergleicht, dann sieht man ganz schnell, dass die normale Version immer die neuesten Features(auch Sicherheitseinstellungen) bereit stellt (genaueres entnimmt man den in Deutschland sehr bekannten Zeitschriften "Computer Bild", "PC Welt", "CHIP" etc.).
Firefox-ESR erhält in Bezug auf Sicherheitsfeatures zeitnah ebenbürtige Updates. Diese sind aber von den Debian-Entwicklern geprüft.
Was andere Updates betrifft, so hat dies TomL oben gut dargestellt. Aus meiner Sicht handelt es sich meist um Gimmicks. Zudem - auch dies hat TomL eigentlich erschöpfend dargestellt - geht man bei den oft unnötigen Updates das Risiko ein, Fremdquellen auf das System zugreifen zulassen. Prox hat hier ein recht sicheres Verfahren gefunden, manuell Updates zu installieren. Das Vorgehen wäre mir aber zu umständlich.
Und immer noch sehe ich keinen signifikanten Vorteil eines "manuellen" Firefox gegenüber dem Firefox-ESR aus den sicheren offiziellen Repositories.

Eine kleine, zugegebenermaßen polemische Bemerkung zu den "Computer-Zeitschriften" sei mir noch erlaubt:
Gerade diese Zeitschriften leben von dem "Pushen" von "Neu", "das Neueste" etc. Geradezu erheiternd finde ich die ständigen "Neuigkeiten" über Windows-10...
Zuletzt geändert von rockyracoon am 13.07.2019 20:08:23, insgesamt 5-mal geändert.

tijuca
Beiträge: 296
Registriert: 22.06.2017 22:12:20

Re: [gelöst]Firefox ESR versus Firefox manuell direkt installiert(Mozilla)

Beitrag von tijuca » 13.07.2019 19:46:42

Wer sich derartige Fragen stellt ob er Firefox ESR oder Firefox (ohne Namenszusatz) benutzen will muss sich bewusst werden was eben der Unterschied ist.

Unter dem Label Firefox verbirgt sich der normale Upstream Entwicklungszweig in dem durch QS Maßnahmen sichergestellt ist, dass neue Features keine defekte Installationen oder Bedienprobleme hervorrufen. Das Ganze wird aus dem Nightly Zweig gespeißt den man auch benutzen kann wenn man Alphaversionen mag. ;) In diesen Versionen sind also alle neuen neuen Features enthalten die Mozilla unter die Benutzer bringen will. Dazu gehören auch Security Fixes natürlich.

Im Gengenzug dazu die ESR Variante die eben keine neuen Features bekommt, sondern eigentlich nur primär zurückportierte Security Fixes und ab und an auch Fixes an allgemeinen Funktionen.

Beide Versionen bekommen Security Fixes praktisch zeitgleich! Und das ist wichtig zu wissen. Es gibt also im Bezug auf Sicherheit keinen wirklichen Vorteil hier wenn man den Firefox ohne ESR Zusatz benutzen will.

In unstable und testing gibt es übrigens beide Versionen! Es gibt ein Paket firefox und firefox-esr.

Des Weiteren ist der Maintainer beider Paket bei Mozilla angestellt, es gibt kaum Upstream Pakete die schneller nach Debian wandern wie die Firefox (und die davon abhängigen anderen) Pakete. Wer stable benutzt und trotzdem die aktuellste Mozilla Version benutzen will kommt aber um eine manuelle Installation nicht herum. Für den normalen Benutzer der eben nicht die aktuellsten HTML5 Features nutzen muss oder will reicht aber mit Sicherheit die firefox-esr Version die über die Debian Automatisierungen bereit gestellt wird. Und das Argument von TomL ist ebenso ein sehr wichtiges, es ist ja gerade der große Vorteil gegenüber anderen kommerziellen Betriebssystemen, dass in Debian alles aus einem zentralen Repo zur Verfügung gestellt wird wo man jederzeit zu 100% verifizieren kann das ein Paket auch wirklich von Debian kommt und nicht aus einer unbekannten Drittquelle im Falle des Falles.

Antworten