Bullseye: Firefox ESR noch mit der alten Version 78 in den Paketquellen

[rockyracoon]

@fischig: Ach!! Komplettes Missverständnis, sorry!

@fischig:

Meine These bezüglich Abhängigkeit ging eigentlich nicht an deine Adresse, sondern eher an die von Debian.

Das konnte man beim Lesen aber wirklich anders verstehen, beziehungsweise war - sorry - mißverständlich von Dir geschrieben.
Aber wie sollte Debian vorgehen, will sagen, welcher Browser bleibt dann übrig?
Epiphany?

[fischig]

Aber wie sollte Debian vorgehen, will sagen, welcher Browser bleibt dann übrig?

Ich habe keine Lösung, rocky. Aber ich werde deswegen auch nicht die Distribution wechseln. Ich ärgere mich nur und hoffe, dass der Kelch vielleicht mit palemoon an mir vorbeigehen möge.

[rockyracoon]

Aber wie sollte Debian vorgehen, will sagen, welcher Browser bleibt dann übrig?

Ich habe keine Lösung, rocky. Aber ich werde deswegen auch nicht die Distribution wechseln. Ich ärgere mich nur und hoffe, dass der Kelch vielleicht mit palemoon an mir vorbeigehen möge.

Palemoon war für manche Threads ein Thema. Ich habe in Erinnerung, dass Palemoon noch mehr Fragezeichen aufwirft, als Firefox-Esr.
Wer Debian produktiv einsetzt, kommt aber imho an der Browser-Frage nicht vorbei.
Was spricht gegen die Verwendung des aktuellen Firefox per Opt oder meinetwegen Flatpak?

[dasebastian]

Aber ich werde deswegen auch nicht die Distribution wechseln.

Das steht bei mir aber auch nicht zur Debatte!

[mcb]

..........
Was spricht gegen die Verwendung des aktuellen Firefox per Opt oder meinetwegen Flatpak?

Gege flatpak spricht so einiges und der Firefox in /opt ist eben eine "Fremdquelle".

Aber beides besser als Sicherheitslücken? Wenn man ehrlich ist wohl schon.

Firefox in /opt läuft hier recht unauffällig. Das Flatpak ist ein wenig blöd in der Performance ...

[rockyracoon]

..........
Was spricht gegen die Verwendung des aktuellen Firefox per Opt oder meinetwegen Flatpak?

Gege flatpak spricht so einiges und der Firefox in /opt ist eben eine "Fremdquelle".

Aber beides besser als Sicherheitslücken? Wenn man ehrlich ist wohl schon.

Flatpak mag ich auch nicht. Ich wollte nur tolerant posten.
Für mich kommt nur Opt in Frage.
Fremdquellen lehne ich in der Regel ab, es gibt aber wohlüberlegte Ausnahmen.
Wenn Firefox-Esr schwerwiegende Bugs hat, ist meiner bescheidenen Meinung nach das normale Firefox per Opt (= Fremdquelle) das kleinere Übel.

Das Flatpak ist ein wenig blöd in der Performance ...

Das kann man wohl sagen.
Ich habe es getestet und als inakzeptabel empfunden.

[mcb]

Ja da sind wir auf einer Linie. ^^ ich hatte nochmal ediert. Und das FF Flatpak habe ich mal ausprobiert.

[dasebastian]

Aber beides besser als Sicherheitslücken? Wenn man ehrlich ist wohl schon.

+1

Das Flatpak ist ein wenig blöd in der Performance ...

Performance (Geschwindigkeit?) ist bei mir ok, aber es hapert im Moment eher noch an der Darstellung der Schriften, gewisse Seiten passen, debianforum hier zB. furchtbar... Aber für die Überbrückung sollt's reichen, dann fliegt der Krempel eh wieder in Bausch und Bogen.

[rockyracoon]

@dasebastian:

ist bei mir ok, aber es hapert im Moment eher noch an der Darstellung der Schriften, gewisse Seiten passt, debianforum hier zB. furchtbar... Aber für die Überbrückung sollt's reichen

Bei mir (Debian-Stable / Gnome3) zeigte Flatpak ähnliche Mucken und ich fand das nicht "O.K.".
Ohne aufdringlich sein zu wollen, empfehle ich Dir, Firefox in Opt zu installieren und freizugeben. Das funzt problemlos und kann mehr sein, als eine "Überbrückung", weil wer weiß, wie sich die Esr-Geschichte weiter entwickelt.

[tijuca]

Mhh, was man(che) da so rein interpretieren ...

Die Situation ist aktuell an sich überhaupt nicht anders wie bei den anderen ESR-Versionssprüngen der Mozilla / MZLNA Produkte. Ein gewisses Lag gab es also schon immer wenn die alte ESR-Version offiziell EoL gegangen war und es eventuell auch schon zwei neue ESR-Versionen gab die es nicht in die aktuelle stabile Version von Debian geschafft haben. Nur geht davon die Welt nicht unter, auch betreffen die gefundenen Sicherheitslücken auch eher einen kleinen Teil der Benutzer, daher bitte nicht überbewerten. Man mache sich doch bitte mal die Mühe und schaue ganz genau in das Fehlverhalten der CVEs. Das ist fürs Homebanking oder auch Amazon etc. allgemein eher unbedeutend. Oder macht Ihr Homebanking auf einer dubiosen Webseite die in Panama liegt? Auch dürften für das tägliche Leben Webseiten die momentan mit einem FF 78 überhaupt nicht mehr funktionieren so gegen Null gehen. Oder hat jemand einen Gegenbeweis? Ich stimme zu, dass es bei Jitsi und eventuell BBB eventuell haken kann, das hängt dann aber auch davon ab wie aktuell diese Instanzen sind.

Was den Upgradepfad angeht hat sich auch nichts geändert, eine neue ESR-Version (egal ob diese jetzt noch 78.x oder schon 91.x ist) wandert de-facto automatisch nach stable-security als auch nach oldstable-security. Und wandern danach auch wiederum recht automatisch in die jeweiligen nächsten Pointreleases. All das wird passieren sobald die nötigen Abhängigkeiten zum Bau der Binärpakte im Repo angekommen sind. Vorher kann ein Maintainer auch nicht wirklich was an einer Aktualisierung arbeiten.

Keep calm sagen die Menschen auf der Insel, und Recht haben sie.

[dasebastian]

Keep calm sagen die Menschen auf der Insel, und Recht haben sie.

Na klar! Sonst hätte ich ja schon die Gentoo-Iso runtergeladen...

Ich sehe das so, dass noch niemand Feuer am Dach gesehen hat, fühle mich aber zur Zeit nicht wohl, wenn ich mit meinem firefox-esr hier arbeite. Deshalb einfach mal das flatpak. Ich bin mir sicher, dass da eine Lösung zeitnah kommt, kann aber in keinster Weise abschätzen, wie (un)sicher das Surfen jetzt wäre, dafür fehlt mir das Wissen und da gehe ich lieber auf nun mal sicher.

Was die früheren Versionssprünge angeht, die sind an mir vorüber gegangen, will sagen, eine derartige Situation/Diskussion hatte ich einfach nicht bemerkt. Ist gut möglich, dass es genau so war, mir fiel es halt nicht auf. Jetzt, wo ich diesen Faden und den Bugreport gelesen habe, fände ich es für mich aber fahrlässig, da nicht in irgendeiner Weise drauf zu reagieren.

Jetzt heisst's halt Tee trinken.

[tobo]

Die Situation ist aktuell an sich überhaupt nicht anders wie bei den anderen ESR-Versionssprüngen der Mozilla / MZLNA Produkte. Ein gewisses Lag gab es also schon immer wenn die alte ESR-Version offiziell EoL gegangen war [...]

Seit dem neuen Firefox-Release-Modell war es so, dass mit Ablauf der alten ESR-Version, die neue ESR-Version im 3. Pointrelease (68.12->78.3; 78.15->91.3) bereitsteht. Auch dieses Mal ist das so. Was das "Lag" angeht - Mozilla empfiehlt den Übergang zur neuen Version mit Erscheinen des 2. Pointreleases, Debian vollzog bislang den Übergang pünktlich zum 3. Pointrelease. Das ist also kein Lag, sondern ein beabsichtigter Reifeprozess, der von Mozilla empfohlen und von Debian (erweitert) umgesetzt wird - dieses Mal aber, technisch beeinflusst, verzögert.

[electri]

Blöde Frage zum Thema Onlinebanking mit FF 78ESR, da hier im Thread ja mehrfach Onlinebanking thematisiert wurde:

Ich persönlich starte vor dem Onlinebanking meinen Broswer neu, und habe ausschließlich nur den Onlinebanking-tab offen. Nach dem Onlinebanking wird FF wieder neu gestartet. Meiner Meinung nach ist das Onlinebanking die sicherste Seite die ich aufrufen kann, auf der ich keinerlei Schadsoftware erwarte. Schließlich verwendet meine Bank weder Werbung, noch Tracking, noch sonst Skripte außerhalb der Bankingdomain. Daher halte ich Onlinebanking für deutlich sicherer, als die Lektüre einer seriösen Tageszeitung, die tonnenweise (dubiosen) Werbemüll einbindet.

Ist die Sicherheitslücke so gravieren, dass ich nicht nur ein internes FF-Problem habe (z.B. Auslesen von FF-Passwörtern, Auslesen von Daten aus anderen Tabs), sondern mein ganzes System kompromittiert wird, dann ist das Banking mein geringstes Problem (oder nur eines von vielen). Aufgrund der zwingenden 2fa bei Überweisungen merke ich hier Angriffe sofort und kann das Banking sperren. Werden meine Daten im home-Verzeichnis verschlüsselt oder veröffentlicht oder mein Mailpostfach gelöscht, merke ich das erst wenn es zu spät ist.

Daher verstehe ich nicht, warum für Banking FF78 trotz aktueller Problematik als Einzeltab und mit vorherigem und nachherigem Neustart schlecht sein soll.

[dasebastian]

@electri:
Deine Argumentation klingt für mich vollkommen schlüssig. Ich habe allerdings sowas von keine Ahnung von der Browser-Materie, dass ich lieber auf "sicher" gehe und da fiel in meinem Fall die Entscheidung auf das Flatpak, obwohl ich Flatpak und Co. generell auch nicht leiden kann. ABER ich vertraue halt drauf, dass die mehr Ahnung als ich haben.

Das Flatpak ist ein wenig blöd in der Performance ...

Jetzt nach einigen Tagen in Gebrauch stimme ich dir voll zu. Videos sind zB. praktisch nicht schaubar, zumindest nicht mit Genuss... Ich gebe den Repositories noch den Dezember Zeit, sollte sich dann nichts tun, werde ich wohl auch die /opt-Variante wählen.

Hatte auch kurz Librewolf als Flatpak ausprobiert, habe keinen Mehrwert gesehen, ausser dass ich in der Einrichtung ein paar Klicks weniger machen muss (Privatsphäre). In der Performance drehte mein Lüfter da sofort auf Hochtouren, ohne dass ich was Spezielles wie Videoschauen oder so gemacht hätte.

Generell bin ich kein großer Firefox-Fan mehr, bleibe ihm aber treu, weil wenn der mal flöten geht, was bleibt dann noch? Dann sind die Forks früher oder später ja auch Geschichte, oder?

[fischig]

weil wenn der mal flöten geht, was bleibt dann noch? Dann sind die Forks früher oder später ja auch Geschichte, oder?

Ich nenne so etwas „Abhängigkeit“ und Firefox ist in meiner Wahrnehmung nicht die einzige Abhängigkeit Debians.

[rockyracoon]

@electri:
Deine Argumentation klingt für mich vollkommen schlüssig. Ich habe allerdings sowas von keine Ahnung von der Browser-Materie, dass ich lieber auf "sicher" gehe und da fiel in meinem Fall die Entscheidung auf das Flatpak, obwohl ich Flatpak und Co. generell auch nicht leiden kann. ABER ich vertraue halt drauf, dass die mehr Ahnung als ich haben.

Das Flatpak ist ein wenig blöd in der Performance ...

Jetzt nach einigen Tagen in Gebrauch stimme ich dir voll zu. Videos sind zB. praktisch nicht schaubar, zumindest nicht mit Genuss... Ich gebe den Repositories noch den Dezember Zeit, sollte sich dann nichts tun, werde ich wohl auch die /opt-Variante wählen.

Hatte auch kurz Librewolf als Flatpak ausprobiert, habe keinen Mehrwert gesehen, ausser dass ich in der Einrichtung ein paar Klicks weniger machen muss (Privatsphäre). In der Performance drehte mein Lüfter da sofort auf Hochtouren, ohne dass ich was Spezielles wie Videoschauen oder so gemacht hätte.

Generell bin ich kein großer Firefox-Fan mehr, bleibe ihm aber treu, weil wenn der mal flöten geht, was bleibt dann noch? Dann sind die Forks früher oder später ja auch Geschichte, oder?

Besser kann man meiner bescheidenen Meinung nach die Situation nicht beschreiben und bewerten.

weil wenn der mal flöten geht, was bleibt dann noch? Dann sind die Forks früher oder später ja auch Geschichte, oder?

Ich nenne so etwas „Abhängigkeit“ und Firefox ist in meiner Wahrnehmung nicht die einzige Abhängigkeit Debians.

So what? Welchen Browser schlägst Du statt Firefox-Opt oder Firefox-Esr vor?

[mcb]

Es gibt ja z.B. noch Seamonkey - da sieht man was aus den Forks würde.

[dasebastian]

Na fischig verwendet Palemoon, wenn ich's richtig gelesen habe. Die scheinen mittlerweile ja völlig unabhängig von Mozilla/Firefox zu sein.

@fischig: verwendest du da das Repository von stevenpusser? Problemlos im Gebrauch? Das ist eigentlich mein Hauptgrund, der für mich gegen den Browser spricht, dass der (leider?) nicht in den offiziellen Repos liegt.

Es gibt ja z.B. noch Seamonkey - da sieht man was aus den Forks würde.

Ich bin kein großer Fan von so All-in-one Suiten, mir war Thunderbird schon zu fett...

[fischig]

@fischig: verwendest du da das Repository von stevenpusser?

Ja.

Problemlos im Gebrauch?

Ziemlich. Alles, was mich stört ist, dass der Browswer mitunter mit der obligatorischen Cookie-Einwilligung nicht zurecht kommt. Aber da bilde ich mir ein, dass die „Schuld“ eher bei der schlecht programmierten Webseite zu suchen ist. Mag aber auch mit meinem Sturkopp, gepaart mit Unwissen (ich weiß, dass ich nichts weiß ), zusammenhängen. Dann und nur dann greife ich zu firefox-esr.

mein Hauptgrund, der für mich gegen den Browser spricht, dass der (leider?) nicht in den offiziellen Repos liegt.

Sehe ich ähnlich, hält mich aber hier nicht zurück. Ich habe auch keine Ahnung, ob der hinsichtlich der hier genannten Sicherheitsproblematik mehr Schutz bietet. Immerhin ist es freie Software und ich wüsste nicht, woher sonst ich das binary zuverlässiger kriegen könnte. Solange sowas existiert, habe ich keine Lust mich mit opt-Installationen, appimages oder flatpaks rumzuschlagen. „Bleeding edge“ war noch nie mein Ding.

edit:
Habe gerade zufällig diesen wiki-Artikel entdeckt: https://wiki.debianforum.de/Fremdquellen
(TRex)

Die Fallstricke 1, 5-8 glaube ich für pussers palemoon ausschließen zu können. zu 2, 3 und 4 weiß ich nichts zu sagen. zu 4 vielleicht noch: Installationsscripte gibt's keine, werden nicht benötigt.

[electri]

[...]Solange sowas existiert, habe ich keine Lust mich mit opt-Installationen [...] rumzuschlagen.

Bin gerade am Testen der Option die von Debian im Wiki unter der ÜBerschrift "From Mozilla binaries" beschrieben steht. Das ist ja offenbar das, was hier als opt-Installation beschrieben wird. Würde Firefox ESR 91 nehmen. Für mich ist das reicht einfach: Firefox-tar-bz2 ins Home-Verzeichnis kopieren, und dann als root die Datei mit cp nach /opt kopieren sowie als root mit tar xfvj entpacken (dann haben die Dateuen auch schon die passenden root-Rechte, zumindest meines Erachtens), und dann noch eine Verknüfpung auf den Desktop setzen, oder wie im Wiki vorgeschlagen die Datei firefox-irgendwas.desktop im applications-Ordner erstellen. Also kurz gesagt, Download, copy, tar, Verknüpfung. Beim Update dann download, copy, löschen altes Verzeichnis, tar. Finde ich jetzt ungefähr einmal im Monat nicht schlimm. Oder habe ich da was falsch verstanden bzw. übersehe ich da etwas? Es ist ja (hoffentlich) nur für eine Übergangszeit, bis Debian (hoffentlich) den ESR 91 in das Security-Repo aufnimmt.

[fischig]

Das ist ja offenbar das, was hier als opt-Installation beschrieben wird.

Was mich betrifft, eher nicht.
Ich habe das letztmals bei open-/libreoffice benutzt. so weit ich zutreffend erinnern kann, waren das binaries, die nach /opt installiert wurden. Ist aber schon zu lange her.

[willy4711]

Beim Update dann download, copy, löschen altes Verzeichnis, tar. Finde ich jetzt ungefähr einmal im Monat nicht schlimm.

Das brauchst du nicht. Du musst nur das FF- Verzeichnis in deinen Besitz übernehmen, dann gibt es
ein automatische Updates, sobald was von Mozilla zu Verfügung steht.

Code: Alles auswählen

su - oder sudo

Code: Alles auswählen

chown -R [Username][:[gruppe] /opt/firefox

Außerdem würde ich raten, denn FF nicht von dem im Tutorial angegebenen Link zu holen, sondern
direkt von https://releases.mozilla.org/pub/
durch geklickt wäre dann die deutsche Version:
https://releases.mozilla.org/pub/firefo ... x86_64/de/

[dasebastian]

@fischig:
Danke für die ausführliche Antwort!

Hat meine derzeitige Meinung zwar noch nicht geändert, Palemoon ist bei mir jetzt aber ein Stück weiter ins Bewusstsein gerückt.

[willy4711]

zu Palemoon:
Warum zum Teufel verwendet man irgend ein Repo, wenn das überhaupt nicht notwendig ist?
Palemoon hat inzwischen ebenfalls eine automatische Update-Funktion

Meint ihr, das ist sicherer, als das Original zu verwenden?

Kann doch nicht daran liegen einmalig, ein Verzeichnis nach /opt zu kopieren ?

Selbst das ist ja letztendlich nicht notwendig, man kann das entpackte Zeugs
genauso in seinem /home lassen

Edit:
Ich hab den auch, benutze ihn aber so gut wie nie. Die Darstellung von vielen Seiten ist aus meiner Sicht saumäßig, so ist z.B: kein vernünftiger Zoom vorhanden, was bei einem 30 Zoll Monitor dann an
Augenfolter grenzt.

[fischig]

Palemoon [hat] inzwischen ebenfalls einen automatische Update-Funktion?

¹

Interessant: Wenn du dir nicht zu schade dafür bist: Gib mal Details, bitte.

Wiewohl: „automatisch“ stört mich schon sehr.

Bevor ich etwas installiere, schaue ich mir, so gut ich kann, an, was da installiert werden soll. Soweit ich erinnere, gab es, solange ich palemoon von Pusser benutze, nicht eine einzige Abhängigkeit außerhalb des Debian-Repos, die ich hätte zusätzlich installieren müssen. Für mich spricht das doch sehr für sein Repo (solange es palemoon nicht in Debian gibt, versteht sich).

¹ entplenkt