Bullseye: Firefox ESR noch mit der alten Version 78 in den Paketquellen

[hikaru]

Das Profil ändert sich nicht bei einem Update.
Die Einstellungen bleiben also erhalten.

Aber was der Browser unter diesen Einstellungen tut kann sich ändern. Und ich glaube(!), wenn sich Defaults ändern, ändern die sich auch im Profil.

Das mag wohl so sein. Aber ein gut eingestellter Firefox von Mozilla ist alle mal besser als das Chrome* Zeugs.

Das wiederum mag so sein. Aber relativierende Vergleiche die darauf hinauslaufen, dass die Probleme von A hinzunehmen seinen, weil B noch viel größere Probleme hat, ziehen bei mir nicht.

Ich würde auch nie einen Browser aus dem Flatpak holen.

Warum schriebst du dann das, wo doch der FF direkt von Mozilla deinen Segen hat?:

Das Flatpak ist auch nicht anders als der Original FF von Mozilla,

Verstehe ich nicht.
Richte mal ff so ein, dass du ihn so starten kannst;

Code: Alles auswählen

firejail  --private=~/.privat-browser/Firefox/   /opt/firefox_beta/firefox --no-remote

Wo gibt es da noch irgendwo Zugriff ?

Es gibt prinzipiell gegenseitigen Zugriff zwischen den Webseiten die du innerhalb dieser Sandbox (z.B. in verschiedenen Tabs) öffnest. Das sollte ein sicherer Browser unterbinden. Aber ein Browser mit offenen Sicheheitslücken ist selbst in diesem Szenario zunächst als unsicher anzunehmen, wobei es aber natürlich im Detail auf die Art der Lücken ankommt.

Ich mach den Browser im Schnitt alle 10 Minuten neu auf.

So kannn ich nicht arbeiten. Und dabei meine ich nicht nur meine Bequemlichkeit. Es gibt Aufgaben im Browser die ich nicht in 10 Minuten erledigen kann.

Wenn ich hier schreibe, ist dass die einzige Seite, die geöffnet ist.

Das glaube ich dir nicht. Wenn du in Beiträgen Links auf externe Seiten setzt, wirst du die im Normalfall in einem anderen Tab offen haben.

Ich will ja nicht behaupten dass mich nun niemand mehr trackt / Daten speichert, aber ich denke, dass das ziemlich minimiert ist.

Im Rahmen der dir zur Verfügung stehenden Mittel, ja. Deine Maßnahmen sind aber kein Ersatz für einen sicheren Browser (sprich: Einen ohne bekannte offene Lücken).

[willy4711]

Es gibt prinzipiell gegenseitigen Zugriff zwischen den Webseiten die du innerhalb dieser Sandbox (z.B. in verschiedenen Tabs) öffnest. Das sollte ein sicherer Browser unterbinden. Aber ein Browser mit offenen Sicheheitslücken ist selbst in diesem Szenario zunächst als unsicher anzunehmen, wobei es aber natürlich im Detail auf die Art der Lücken ankommt.

Im Rahmen der dir zur Verfügung stehenden Mittel, ja. Deine Maßnahmen sind aber kein Ersatz für einen sicheren Browser (sprich: Einen ohne bekannte offene Lücken)

Das ist ja alles richtig. Die Gretchenfrage ist doch aber: Ist das bei Firefox so ?

Und vor allem: Ist der Browser von Debian nachweislich sicherer als der von Mozilla ?
Das glaube ich nicht. Sicherheitslücken im Browser, die es in der Regel zuhauf gibt, werden von Mozilla
und nicht von Debian beseitigt, sicherlich in Absprache untereinander.
Außerdem:
Sicherheitspatchs erreichen den User (wenn er denn so paranoid ist, und glaubt, das sein Heil von ein paar Tagen abhängt)
ganz sicherlich bei Mozilla schneller als bei Debian.

Eine sehr interessante Artikelserie dazu, die ich jeden empfehlen kann:
https://www.kuketz-blog.de/hinweis-zur- ... ompendium/

Dort steht:

[....]
Trotz dieser Fehltritte kann Firefox ein Browser für Datenschutzbewusste sein – allerdings nicht im Auslieferungszustand.
[....]
Warum sollen wir gerade Firefox unsere Sicherheit und Privatsphäre beim Surfen anvertrauen?
Die erschreckende Wahrheit: Firefox ist das kleinste Übel.
Alle anderen weit verbreiteten Browser geben sich beim Ausspionieren des Nutzers noch mehr Mühe oder sind einfach nicht quelloffen.

Die Frage sollte also sein:
Gibt es bei der alten ESR- Version bekannte Sicherheitslücken, Die die Verwendung der 78 Version verbieten ?
Wenn ja -- Welche
Dann kann man immer noch problemlos auf die Mozilla_Version umsteigen. Ein Ausweichen auf Chrom oder Chromium ist sicher nicht
das Mittel der Wahl.

willy4711 hat geschrieben: 25.11.2021 23:55:29
Ich würde auch nie einen Browser aus dem Flatpak holen.
Warum schriebst du dann das, wo doch der FF direkt von Mozilla deinen Segen hat?:

Das hatte ich nur deshalb gesagt, weil im Faltpack die jeweils aktuelle Version enthalten ist.
Nachteile des Flatpaks sind die riesige Umgebung die man mit geliefert bekommt, und (meines Wissen nach) ein automatisches
Update auch nicht gewährleistet ist (geht wohl nur über flatpak update)

[wholelottarosie]

Die Frage sollte also sein:
Gibt es bei der alten ESR- Version bekannte Sicherheitslücken, Die die Verwendung der 78 Version verbieten ?

Das war für mich bei der Erstellung des Themas der eigentliche Grund.

[willy4711]

Erste Anhaltspunkte gibt es hier:
https://www.mozilla.org/en-US/security/ ... refox-esr/

Entscheiden muss man da wohl selber.

[hikaru]

Es gibt prinzipiell gegenseitigen Zugriff zwischen den Webseiten die du innerhalb dieser Sandbox (z.B. in verschiedenen Tabs) öffnest. Das sollte ein sicherer Browser unterbinden. Aber ein Browser mit offenen Sicheheitslücken ist selbst in diesem Szenario zunächst als unsicher anzunehmen, wobei es aber natürlich im Detail auf die Art der Lücken ankommt.

Im Rahmen der dir zur Verfügung stehenden Mittel, ja. Deine Maßnahmen sind aber kein Ersatz für einen sicheren Browser (sprich: Einen ohne bekannte offene Lücken)

Das ist ja alles richtig. Die Gretchenfrage ist doch aber: Ist das bei Firefox so ?

Die ehrliche Antwort ist, dass wir beide nicht die Qualifikation haben, das zu überprüfen. Wir sind also beide darauf angewiesen, den Aussagen Anderer zu glauben.
Mozilla behauptet natürlich, dass ihr Browser sicher ist. Und im Browserballet (in dem in Wahrheit nur noch drei Dutzend verkleidete Chromes und eine handvoll Feuerfüchse tanzen) ist Mozilla der Tänzer der bei mir das geringste Misstrauen genießt.
Zur Wahrheit gehört aber auch, dass selbst Mozilla seinen Usern gern mal Datenschutzexperimente unterschiebt. Und genu hier kommt für mich Debian als Distributor ins Spiel, denn ich vertraue auf Basis gemachter Beobachtungen dem Debian-Mozilla-Team, diese Experimente für mich abzuschalten.

Und vor allem: Ist der Browser von Debian nachweislich sicherer als der von Mozilla ?

Wenn du den Datenschutz mit einbeziehst, was ich tue, dann ja.

Warum sollen wir gerade Firefox unsere Sicherheit und Privatsphäre beim Surfen anvertrauen?
Die erschreckende Wahrheit: Firefox ist das kleinste Übel.

Das ist halt wieder so ein relativierende Vergleich.
Das Problem wird ersichtlich, wenn wir das Szenario ins Lächerliche überspitzen:
Stell dir vor, es gäbe keinen Firefox, sondern nur Chrome in seiner aktuellen Form! Und es gäbe den fiktiven Kinderfresserbrowser, der jedes mal eines deiner Kinder frisst, wenn irgendwo ungewollt Daten über dich abfließen.
Dann würde in dem Artikel genau das Gleiche stehen, nur über Chrome. Und das obwohl in diesem Szenario Chrome kein Stück besser ist als er in der Realität ist. Sich Missstände mit relativierenden Vergleichen schönzureden führt zu nichts (Gutem).

[mcb]

Die Frage sollte also sein:
Gibt es bei der alten ESR- Version bekannte Sicherheitslücken, Die die Verwendung der 78 Version verbieten ?

Das war für mich bei der Erstellung des Themas der eigentliche Grund.

Nach meinem Dafürhalten ist es richtig eine Firefoxversion > FF ESR 78.x zu nutzen.
Wie leicht die Lücken auszunutzen sind kann ich leider nur mutmaßen, aber da waren ein paar bummer bei: https://www.mozilla.org/en-US/security/ ... sa2021-49/

[willy4711]

ßt.
Zur Wahrheit gehört aber auch, dass selbst Mozilla seinen Usern gern mal Datenschutzexperimente unterschiebt. Und genu hier kommt für mich Debian als Distributor ins Spiel, denn ich vertraue auf Basis gemachter Beobachtungen dem Debian-Mozilla-Team, diese Experimente für mich abzuschalten.

Das ist aber nicht all zuviel, was da abgeschaltet wird.
Kannst hier nachlesen:
https://wiki.debian.org/Firefox#Disabli ... onnections
Ansonsten wird in dem Artikel auch nur weiter auf Mozilla verwiesen.

Sich Missstände mit relativierenden Vergleichen schönzureden führt zu nichts (Gutem).

Warum denn das ? Der Artikel zu FF ist x-Seiten lang und beleuchtet fast jeden Aspekt der Sicherheit.
Die Frage ist doch: kann man in irgend einem anderen Browser so detailliert (bis zur user.js) Dinge einstellen / modifizieren ?
Ich denke nicht.
Insofern finde ich diesen relativierenden Vergleich durchaus berechtigt.

Alternative wäre dann für Hardcore Freaks lynx o.Ä.

[willy4711]

Nach meinem Dafürhalten ist es richtig eine Firefoxversion > FF ESR 78.x zu nutzen.
Wie leicht die Lücken auszunutzen sind kann ich leider nur mutmaßen, aber da waren ein paar bummer bei: https://www.mozilla.org/en-US/security/ ... sa2021-49/

Schon richtg.
Ich persönlich glaube, dass es für den normalen Nutzer nicht allzu gefährlich ist, solange er nicht sensible Daten oder Webseiten aufruft.
Kann es aber in Wirklichkeit nicht einschätzen.
Aber weil ich es eben nicht wirklich kann, verbietet sich für mich jede Nutzung des normalen Browsers z.B. für Banking-Geschäfte.
Auch wenn alle Welt beteuert dass das 100% sicher ist ---am besten mit dem ganz ganz sicheren Smartphone

Das einzige, was ich mal (sehr selten) mache: Über den Tor-Browser

Code: Alles auswählen

firejail --noprofile torbrowser-launcher

mal schnell nach dem Kontostand zu sehen.
Klick Klack und wieder zu.

[slu]

Ich hatte gestern mal im Bug Tracker gesucht aber nichts gesehen.
Irgend eine Richtung wäre gut zu wissen...

[ung]

999604

[rockyracoon]

Firefox-ESR-91.4 Release = 7/12/21: https://wiki.mozilla.org/Release_Management/Calendar

[mcb]

999604

Danke!

[mcb]

Firefox-ESR-91.4 Release = 7/12/21: https://wiki.mozilla.org/Release_Management/Calendar

Meinst du für Stable gibt es dann gleich 91.4 zu Weihnachten?

[rockyracoon]

Firefox-ESR-91.4 Release = 7/12/21: https://wiki.mozilla.org/Release_Management/Calendar

Meinst du für Stable gibt es dann gleich 91.4 zu Weihnachten?

Wäre schön.

[slu]

999604

Letzte Stand von diesem Bug ist der 13.11.2021.
Es ärgert mich etwas das ich zu der Problemlösung nichts beitragen kann...

[mcb]

Zur Problemlösung kann ich auch nicht beitragen, ich kann kaum Programmieren. Als Debianmaintainer also ungeeignet ...

Es soll wohl ein passendes rust gebaut werden nur für Firefox/Thunderbird:

#1000472 - bullseye-pu package rustc-mozilla_1.51.0+dfsg1-1~deb11u1 - Debian Bug report logs
https://bugs.debian.org/cgi-bin/bugrepo ... ug=1000472

Ein rustc backport wäre generelle ganz cool.

[MSfree]

Es soll wohl ein passendes rust gebaut werden nur für Firefox/Thunderbird:

Das Update auf Thunderbird 91 kam bei mir heute auf meiner Bookworm-Kiste an. Dann kann es bis zum Firefox 91 eigentlich auch nicht mehr so lange dauern.

Mal sehen, ob das dann auch in die Bullseye-Backports kommt.

[hikaru]

Mal sehen, ob das dann auch in die Bullseye-Backports kommt.

Firefox 91 (samt Abhängigkeiten) wird eher in Security auftauchen als in den Backports.

[mcb]

Ja und dies neue rustc-mozilla in den backports? Na die machen das schon.

[hikaru]

Ja und dies neue rustc-mozilla in den backports?

Und was machst du, wenn du zwar Security für FF, aber keine Backports hast? Dann fliegt dir das FF-Update wegen fehlender Abhängigkeiten um die Ohren.
Nein, wenn dann müssen alle Abhängigkeiten ebenfalls nach Security. Natürlich könnte stattdessen auch alles in die Backports. Aber da die fakulativ sind stünden dann viele User ganz ohne Browser da.

[mcb]

Ja und dies neue rustc-mozilla in den backports?

Und was machst du, wenn du zwar Security für FF, aber keine Backports hast? Dann fliegt dir das FF-Update wegen fehlender Abhängigkeiten um die Ohren.
Nein, wenn dann müssen alle Abhängigkeiten ebenfalls nach Security. Natürlich könnte stattdessen auch alles in die Backports. Aber da die fakulativ sind stünden dann viele User ganz ohne Browser da.

Wohl kaum, der rustkompiler wird für das Programm nicht gebraucht. https://bugs.debian.org/cgi-bin/bugrepo ... ug=1000472

[hikaru]

Aber eine zum FF passende rustc-Version wird gebraucht um den FF-Bau reproduzierbar zu machen.

[mcb]

Ja zum bauen gibt es dann 'backports' oder neue (zusätzliche) Pakete - jedenfalls verstehe ich die Planung so - mal den Bugreport im Auge behalten.

[dasebastian]

Ich bin hier zufällig drübergestolpert und fasse mal aus unbedarfter Sicht zusammen:

firefox-esr aus den bullseye-Quellen erhält keine Sicherheitsupdates mehr, ohne, dass dem Durchschnittsanwender, der sich nicht im Forum oder auf anderen einschlägigen Seiten herumtreibt, das mitgeteilt wird?

Ist das hier ein Sturm im Wasserglas (ich zweifle nicht an den aufrichtigen Bemühungen hier!) oder haben "wir" jetzt alle tatsächlich ein veritables Sicherheitsproblem?

Ich meine, hier handelt es sich um den Webbrowser (!), der bei Installation mitgeliefert wird, um Linux ("Nein, nein, solange du bei den offiziellen Quellen bleibst, ist alles supergut...!") und da um Debian ("Pakete sind abgehangen aber dafür dann superstabil...!").

Ich selbst habe jetzt noch nichts unternommen (schon fahrlässig?) und wüsste mir auch zu behelfen (Flatpak oder Binaries direkt), aber die Situation ändert meine Sicht auf Debian schon ein wenig, wenn das so stimmt. Auch in Hinblick auf die "Durchschnittstauglichkeit" von Debian für den ganz gewöhnlichen Ich-habs-einmal-eingerichtet-jetz-is-gut-User.

Habt ihr denn jetzt alle firefox-esr gepurged und wartet ab?

[MSfree]

firefox-esr aus den bullseye-Quellen erhält keine Sicherheitsupdates mehr...?

Doch.

Ist das hier ein Sturm im Wasserglas...oder haben "wir" jetzt alle tatsächlich ein veritables Sicherheitsproblem?

Noch hat keiner ein Sicherheitsproblem.

("Pakete sind abgehangen aber dafür dann superstabil...!").

"Stabil" heißt nicht absturzfrei sondern stabile Versionsnummer. In Bullseye ist nunmal FF-ESR 78 drin, ein Upgrade auf 91 dürfte es also gar nicht geben, einfach, weil es eben keine 78 mehr ist.

In FF 91 sind aber einige Erweiterungen und Verbesserungen eingeflossen. Mit der Zeit kann es passieren, daß Internetseiten mit dem 78er gar nicht mehr benutzbar sind, weil diese eben die Erweiterungen des HTML-Sprachstandards nutzen, die der 78er nicht kennt. Insofern wäre ein baldiges Upgrade auf 91 schon wünschenswert. Aber 91 verletzt auch die Versionsstabilität, Bullseye kam halt mit 78 und muß nach dem Debian-Dekret eben auch bei 78 bleiben. Daher ist meine Vermutung auch, daß der 91er in die Backports kommt und nicht als "normales" Update erscheint.