Bullseye: Firefox ESR noch mit der alten Version 78 in den Paketquellen

[mcb]

Die Version von Mozilla in /opt sollte für die Verwandschaft aber ok sein. Chrome muß jeder selbst entscheiden ist hier der Drittbrowser.

Theoretisch ja, aber ich möchte nicht das der User die Dateien überschreiben kann (Firefox).
Wenn ich das aber nicht erlaube kann er nicht aktuallisiert werden,...

Seither bin ich mit "installiere die Updates und das System ist ok" immer gut gefahren.

Ja - ok - stimmt schon ...

Flatpak? Allen Ungrufen zum trotz funktioniert es.

[slu]

Flatpak? Allen Ungrufen zum trotz funktioniert es.

Im Büro haben wir Scripte um den orginalen Firefox zu verteilen, das ist kein Problem.
[...]
Aber die privaten Geräte die ich den Kollegen aufgesetzt habe machen mir jetzt Bauchweh.
Zum Glück haben die meisten noch den Chrome installiert (Chromium ist ja keine Option mehr).

Da ich auf die privaten Geräte kein Zugriff habe und jetzt auch nicht alle besuchen möchte habte ich jetzt erst mal
die "Chrome only" Anweisung gegeben. Hoffentlich regelt sich das mit dem Firefox in Debian Stable.

[mcb]

Flatpak? Allen Ungrufen zum trotz funktioniert es.

Im Büro haben wir Scripte um den orginalen Firefox zu verteilen, das ist kein Problem.
[...]
Aber die privaten Geräte die ich den Kollegen aufgesetzt habe machen mir jetzt Bauchweh.
Zum Glück haben die meisten noch den Chrome installiert (Chromium ist ja keine Option mehr).

Da ich auf die privaten Geräte kein Zugriff habe und jetzt auch nicht alle besuchen möchte habte ich jetzt erst mal
die "Chrome only" Anweisung gegeben. Hoffentlich regelt sich das mit dem Firefox in Debian Stable.

Ja - irgendwie geht es und das Update landet irgendwann.

[hikaru]

Ich habe mich mal an einem Backport des Sid-Pakets unter Bullseye versucht. Der neue Firefox braucht zwingend ein neueres rustc und die Version in Sid braucht wiederum eine neuere Version als die in Bullseye Verfügbare. Man kann sich also nicht einfach Stück für Stück durch die Abhängigkeiten hangeln.

Eine ähnliche Situation hatte ich mal als ich einen Firefox-Backport von Buster (seinerzeit Testing) auf Jessie (Oldstable) versucht habe. Es kam noch clang ins Spiel und ich habe es irgendwann aufgegeben, weil ich gefühlt das halbe Release hätte backporten müssen.
Aber das war ja nur Hobby. Jetzt geht's um den einzig vom Security-Team betreuten Browser in Debian Stable. An Mike Hommeys Stelle würde ich zügigst versuchen, Firefox 91 in Testing zum Laufen zu bringen und dann eine GR anstoßen, Bookworm noch 2021 zu veröffentlichen.

[mcb]

Tja Bookworm zu Weihnachten

Mit dem rust Kompiler weiß ich auch nicht wie die das anstellen wollen. Rustc könnte in die Backports, oder ist das auch ausgeschlossen?

[hikaru]

Klar könnte man rustc in die Backports stecken, falls man es für Bullseye gebaut bekommt. Aber dann kann man es genauso gut nach Security stecken, wo auch Firefox liegt. Sonst müsste nämlich auch Firefox in die Backports.

Die eigentlich Frage ist, ob, bzw. mit wie viel Aufwand man rustc gebaut bekommt. In Bullseye liegt Version 1.48. In Sid liegt aktuell 1.56. 1.56 braucht zum Bauen 1.55 und ich weiß nicht ob 1.48 reicht. um das zu bauen. 1.56 nach Bullseye zu bekommen geht also nur mit Umwegen.
Firefox 91 braucht rustc 1.51. Vielleicht wäre das einfacher nach Bullseye zu bekommen. Aber dann hat man noch eine Version am Hals und die wäre ohnehin nur ein Zwischenschritt, denn irgendwann innerhalb des Bullseye-Supportzeitraums kommt sicher noch ein Firefox dem rustc 1.51 nicht mehr reicht.

Basierend auf meinen früheren Erfahrungen vermute ich, dass die Situation für clang ähnlich aussehen könnte.

Momentan tendiere ich dazu, mir extra für Firefox in irgendeiner Weise Sid anzuschaffen, entweder als chroot oder gleich als VM. Ich wollte den Browser ohenhin schon lange vom Rest des Systems entkoppeln. Aber was das wieder an RAM kostet ...
Klar, könnte ich dann prinzipiell auch eine der 3rd-Party-Image-Lösungen nehmen, aber neben den ganz eigenen potenziellen Sicherheitsproblemen dieser Lösungen traue ich Mozilla in Sachen Datenschutz nicht so richtig über den Weg. Die bauen von Zeit zu Zeit gern mal irgendwelche hippen Experimente in ihre neuen Versionen ein, die das Debian-Team meiner Wahrnehmung nach gut rausfiltert. Daher würde ich nur ungern einen Upstream-Firefox nutzen.

[willy4711]

Mir ist schleierhaft, warum hier so ein Aufriss gemacht wird.

Das ist ja schon fast Hysterie : Dann lieber Chromium oder gar Chrome

Gut da scheint es bez. der Kompilierung ein Paar Probleme zu geben.
Der Firefox von Debian wird wohl teilweise von Bloat bereinigt, was auch immer das ist.

Das kann man aber auch weitgehend verhindern in dem mal sich mit mit dem Privacy-Handbuch.
https://www.privacy-handbuch.de/handbuch_21.htm beschäftigt.

Ich weiß auch nicht wo da Probleme mit dem Update von Firefox von Mozilla sein könnten.
Man kann die Updates so einstellen, dass der User nix davon merkt.
Beim nächsten Start ist halt einen neue Version da.

Möchte hier irgendjemand behaupten, das er erstmal den Code studiert, bevor er ein Update zulässt ??
Das passiert soweit mir bekannt ist auch bei den Debian - Versionen nicht. Da wird halt via Skript
irgendwas rausgeschnippelt.

Das Flatpak ist auch nicht anders als der Original FF von Mozilla, das Argument vom Sandkasten sticht auch nicht,
da man mit firejail inzwischen Browser und alles andere auch beliebig "einmauern" kann,
dass er noch nicht mal mehr Zugriff auf das eigene /home hat.

Also was ist das hier für heiße Luft, die mal wieder abgelassen wird ?

[mcb]

Ich gebe zu die Debianlogik kann ich manchmal nicht nachvollziehen.

- "Nichtprogrammierer"-Ansatz ich installiere ein neues rustc (aus sid oder von mozilla) unter bullseye und kann Firefox kompileren.

Ne VM nur für Firefox? Weiß nicht - soviel Schrott baut Mozilla dann doch nicht. Lieber ne user.js / prefs.js schreiben.

PS: Die Firefox-ESR aus sid läuft soweit problemlos under Bookworm, die sollte kommen.

Nur ich möchte mein Hauptsystem auf stable lassen. Bei Testing knirscht es mir zu oft (wäre die Notlösung).

[hikaru]

Gut da scheint es bez. der Kompilierung ein Paar Probleme zu geben.

Aktuell ist die von Upstream unterstützte Version von firefox-esr unter Stable nicht compilierbar. D.h., es gibt aktuell aus den Debian-Quellen keinen sicheren Browser. In Anbetracht dessen, dass der Browser auf Desktopsystemen die mit Abstand wichtigste Software sein dürfte, ist dieser Zustand vorsichtig ausgedrückt problematisch.

Der Firefox von Debian wird wohl teilweise von Bloat bereinigt, was auch immer das ist.

Ich müsste nachschauen, aber das Letzte an das ich mich erinnere waren irgendwelche Profiling-Einstellungen die Firefox in der Standardeinstellung dazu veranlasst haben, nach Hause zu telefonieren wie ein altes Waschweib.

Das kann man aber auch weitgehend verhindern in dem mal sich mit mit dem Privacy-Handbuch.
https://www.privacy-handbuch.de/handbuch_21.htm beschäftigt.

Und du überprüfst bei jeder neuen Firefox-Version alle Einstellungen, inklusive möglicher stiller Änderungen? Ich nicht, dazu bin ich nämlich zu faul. Das Debian-Firefox-Team hat das in der Vergangenheit zumindest bei den Änderungen getan die es bis in die Boulevardpresse schafften. Und dabei wurde nicht nur in about:config rumgeklickt, sondern auch Code angefasst.

Ich weiß auch nicht wo da Probleme mit dem Update von Firefox von Mozilla sein könnten.

Das Problem ist, dass es direkt von Mozilla kommt.

Das Flatpak ist auch nicht anders als der Original FF von Mozilla,

Ich behaupte, in dem Flatpak steckt noch ein Satz Libs den keiner so genau übrprüft, schon gar nicht auf mögliche Kreuzreaktionen mit Debians System-Libs.
Was zueinander unpassende Libs anstellen können weißt du ja spätestens seit dem Waterfox-Thread. Und das war noch die harmlose Variante, denn der Browser ist dir damals spektakulär um die Ohren geflogen. Du wusstest also sofort, das etwas kaputt war. Stell dir vor was passiert, wenn du nicht mitbekommst, dass deine TLS-Verbindung nicht sicher ist!

das Argument vom Sandkasten sticht auch nicht,
da man mit firejail inzwischen Browser und alles andere auch beliebig "einmauern" kann,
dass er noch nicht mal mehr Zugriff auf das eigene /home hat.

Das nützt aber nichts, wenn der unsichere Browser innerhalb des Sandkastens Scheibe spielt, wo ohnehin alle sensiblen Daten anfallen und Angriffe stattfinden. Oder machst du für jede Website eine eigene Sandbox auf?

Also was ist das hier für heiße Luft, die mal wieder abgelassen wird ?

Das frage ich mich auch.

[willy4711]

Und du überprüfst bei jeder neuen Firefox-Version alle Einstellungen, inklusive möglicher stiller Änderungen?

Das Profil ändert sich nicht bei einem Update.
Die Einstellungen bleiben also erhalten.

In Anbetracht dessen, dass der Browser auf Desktopsystemen die mit Abstand wichtigste Software sein dürfte, ist dieser Zustand vorsichtig ausgedrückt problematisch.

Das mag wohl so sein. Aber ein gut eingestellter Firefox von Mozilla ist alle mal besser als das Chrome* Zeugs.

Ich behaupte, in dem Flatpak steckt noch ein Satz Libs den keiner so genau übrprüft, schon gar nicht auf mögliche Kreuzreaktionen mit Debians System-Libs.

Ich würde auch nie einen Browser aus dem Flatpak holen. Neben dem riesigen Download Volumen Für FF 1 GB
stimme ich deiner Argumentation zu.

Das nützt aber nichts, wenn der unsichere Browser innerhalb des Sandkastens Scheibe spielt, wo ohnehin alle sensiblen Daten anfallen und Angriffe stattfinden. Oder machst du für jede Website eine eigene Sandbox auf?

Verstehe ich nicht.
Richte mal ff so ein, dass du ihn so starten kannst;

Code: Alles auswählen

firejail  --private=~/.privat-browser/Firefox/   /opt/firefox_beta/firefox --no-remote

Wo gibt es da noch irgendwo Zugriff ?
Welche sensiblen Daten fallen da an ? Bei Mir ---> Keine.

Aber vielleicht mal was grundsätzliches, wie ich einen Browser handhabe.
Keine History / Keine Cookies. Ich mach den Browser im Schnitt alle 10 Minuten neu auf.
Wenn ich hier schreibe, ist dass die einzige Seite, die geöffnet ist.
Mit Bleachbit lösche ich mehrmals am Tag den kompletten ~/cache.

Ich will ja nicht behaupten dass mich nun niemand mehr trackt / Daten speichert, aber ich denke, dass das ziemlich minimiert ist.

[hikaru]

Das Profil ändert sich nicht bei einem Update.
Die Einstellungen bleiben also erhalten.

Aber was der Browser unter diesen Einstellungen tut kann sich ändern. Und ich glaube(!), wenn sich Defaults ändern, ändern die sich auch im Profil.

Das mag wohl so sein. Aber ein gut eingestellter Firefox von Mozilla ist alle mal besser als das Chrome* Zeugs.

Das wiederum mag so sein. Aber relativierende Vergleiche die darauf hinauslaufen, dass die Probleme von A hinzunehmen seinen, weil B noch viel größere Probleme hat, ziehen bei mir nicht.

Ich würde auch nie einen Browser aus dem Flatpak holen.

Warum schriebst du dann das, wo doch der FF direkt von Mozilla deinen Segen hat?:

Das Flatpak ist auch nicht anders als der Original FF von Mozilla,

Verstehe ich nicht.
Richte mal ff so ein, dass du ihn so starten kannst;

Code: Alles auswählen

firejail  --private=~/.privat-browser/Firefox/   /opt/firefox_beta/firefox --no-remote

Wo gibt es da noch irgendwo Zugriff ?

Es gibt prinzipiell gegenseitigen Zugriff zwischen den Webseiten die du innerhalb dieser Sandbox (z.B. in verschiedenen Tabs) öffnest. Das sollte ein sicherer Browser unterbinden. Aber ein Browser mit offenen Sicheheitslücken ist selbst in diesem Szenario zunächst als unsicher anzunehmen, wobei es aber natürlich im Detail auf die Art der Lücken ankommt.

Ich mach den Browser im Schnitt alle 10 Minuten neu auf.

So kannn ich nicht arbeiten. Und dabei meine ich nicht nur meine Bequemlichkeit. Es gibt Aufgaben im Browser die ich nicht in 10 Minuten erledigen kann.

Wenn ich hier schreibe, ist dass die einzige Seite, die geöffnet ist.

Das glaube ich dir nicht. Wenn du in Beiträgen Links auf externe Seiten setzt, wirst du die im Normalfall in einem anderen Tab offen haben.

Ich will ja nicht behaupten dass mich nun niemand mehr trackt / Daten speichert, aber ich denke, dass das ziemlich minimiert ist.

Im Rahmen der dir zur Verfügung stehenden Mittel, ja. Deine Maßnahmen sind aber kein Ersatz für einen sicheren Browser (sprich: Einen ohne bekannte offene Lücken).

[willy4711]

Es gibt prinzipiell gegenseitigen Zugriff zwischen den Webseiten die du innerhalb dieser Sandbox (z.B. in verschiedenen Tabs) öffnest. Das sollte ein sicherer Browser unterbinden. Aber ein Browser mit offenen Sicheheitslücken ist selbst in diesem Szenario zunächst als unsicher anzunehmen, wobei es aber natürlich im Detail auf die Art der Lücken ankommt.

Im Rahmen der dir zur Verfügung stehenden Mittel, ja. Deine Maßnahmen sind aber kein Ersatz für einen sicheren Browser (sprich: Einen ohne bekannte offene Lücken)

Das ist ja alles richtig. Die Gretchenfrage ist doch aber: Ist das bei Firefox so ?

Und vor allem: Ist der Browser von Debian nachweislich sicherer als der von Mozilla ?
Das glaube ich nicht. Sicherheitslücken im Browser, die es in der Regel zuhauf gibt, werden von Mozilla
und nicht von Debian beseitigt, sicherlich in Absprache untereinander.
Außerdem:
Sicherheitspatchs erreichen den User (wenn er denn so paranoid ist, und glaubt, das sein Heil von ein paar Tagen abhängt)
ganz sicherlich bei Mozilla schneller als bei Debian.

Eine sehr interessante Artikelserie dazu, die ich jeden empfehlen kann:
https://www.kuketz-blog.de/hinweis-zur- ... ompendium/

Dort steht:

[....]
Trotz dieser Fehltritte kann Firefox ein Browser für Datenschutzbewusste sein – allerdings nicht im Auslieferungszustand.
[....]
Warum sollen wir gerade Firefox unsere Sicherheit und Privatsphäre beim Surfen anvertrauen?
Die erschreckende Wahrheit: Firefox ist das kleinste Übel.
Alle anderen weit verbreiteten Browser geben sich beim Ausspionieren des Nutzers noch mehr Mühe oder sind einfach nicht quelloffen.

Die Frage sollte also sein:
Gibt es bei der alten ESR- Version bekannte Sicherheitslücken, Die die Verwendung der 78 Version verbieten ?
Wenn ja -- Welche
Dann kann man immer noch problemlos auf die Mozilla_Version umsteigen. Ein Ausweichen auf Chrom oder Chromium ist sicher nicht
das Mittel der Wahl.

willy4711 hat geschrieben: 25.11.2021 23:55:29
Ich würde auch nie einen Browser aus dem Flatpak holen.
Warum schriebst du dann das, wo doch der FF direkt von Mozilla deinen Segen hat?:

Das hatte ich nur deshalb gesagt, weil im Faltpack die jeweils aktuelle Version enthalten ist.
Nachteile des Flatpaks sind die riesige Umgebung die man mit geliefert bekommt, und (meines Wissen nach) ein automatisches
Update auch nicht gewährleistet ist (geht wohl nur über flatpak update)

[wholelottarosie]

Die Frage sollte also sein:
Gibt es bei der alten ESR- Version bekannte Sicherheitslücken, Die die Verwendung der 78 Version verbieten ?

Das war für mich bei der Erstellung des Themas der eigentliche Grund.

[willy4711]

Erste Anhaltspunkte gibt es hier:
https://www.mozilla.org/en-US/security/ ... refox-esr/

Entscheiden muss man da wohl selber.

[hikaru]

Es gibt prinzipiell gegenseitigen Zugriff zwischen den Webseiten die du innerhalb dieser Sandbox (z.B. in verschiedenen Tabs) öffnest. Das sollte ein sicherer Browser unterbinden. Aber ein Browser mit offenen Sicheheitslücken ist selbst in diesem Szenario zunächst als unsicher anzunehmen, wobei es aber natürlich im Detail auf die Art der Lücken ankommt.

Im Rahmen der dir zur Verfügung stehenden Mittel, ja. Deine Maßnahmen sind aber kein Ersatz für einen sicheren Browser (sprich: Einen ohne bekannte offene Lücken)

Das ist ja alles richtig. Die Gretchenfrage ist doch aber: Ist das bei Firefox so ?

Die ehrliche Antwort ist, dass wir beide nicht die Qualifikation haben, das zu überprüfen. Wir sind also beide darauf angewiesen, den Aussagen Anderer zu glauben.
Mozilla behauptet natürlich, dass ihr Browser sicher ist. Und im Browserballet (in dem in Wahrheit nur noch drei Dutzend verkleidete Chromes und eine handvoll Feuerfüchse tanzen) ist Mozilla der Tänzer der bei mir das geringste Misstrauen genießt.
Zur Wahrheit gehört aber auch, dass selbst Mozilla seinen Usern gern mal Datenschutzexperimente unterschiebt. Und genu hier kommt für mich Debian als Distributor ins Spiel, denn ich vertraue auf Basis gemachter Beobachtungen dem Debian-Mozilla-Team, diese Experimente für mich abzuschalten.

Und vor allem: Ist der Browser von Debian nachweislich sicherer als der von Mozilla ?

Wenn du den Datenschutz mit einbeziehst, was ich tue, dann ja.

Warum sollen wir gerade Firefox unsere Sicherheit und Privatsphäre beim Surfen anvertrauen?
Die erschreckende Wahrheit: Firefox ist das kleinste Übel.

Das ist halt wieder so ein relativierende Vergleich.
Das Problem wird ersichtlich, wenn wir das Szenario ins Lächerliche überspitzen:
Stell dir vor, es gäbe keinen Firefox, sondern nur Chrome in seiner aktuellen Form! Und es gäbe den fiktiven Kinderfresserbrowser, der jedes mal eines deiner Kinder frisst, wenn irgendwo ungewollt Daten über dich abfließen.
Dann würde in dem Artikel genau das Gleiche stehen, nur über Chrome. Und das obwohl in diesem Szenario Chrome kein Stück besser ist als er in der Realität ist. Sich Missstände mit relativierenden Vergleichen schönzureden führt zu nichts (Gutem).

[mcb]

Die Frage sollte also sein:
Gibt es bei der alten ESR- Version bekannte Sicherheitslücken, Die die Verwendung der 78 Version verbieten ?

Das war für mich bei der Erstellung des Themas der eigentliche Grund.

Nach meinem Dafürhalten ist es richtig eine Firefoxversion > FF ESR 78.x zu nutzen.
Wie leicht die Lücken auszunutzen sind kann ich leider nur mutmaßen, aber da waren ein paar bummer bei: https://www.mozilla.org/en-US/security/ ... sa2021-49/

[willy4711]

ßt.
Zur Wahrheit gehört aber auch, dass selbst Mozilla seinen Usern gern mal Datenschutzexperimente unterschiebt. Und genu hier kommt für mich Debian als Distributor ins Spiel, denn ich vertraue auf Basis gemachter Beobachtungen dem Debian-Mozilla-Team, diese Experimente für mich abzuschalten.

Das ist aber nicht all zuviel, was da abgeschaltet wird.
Kannst hier nachlesen:
https://wiki.debian.org/Firefox#Disabli ... onnections
Ansonsten wird in dem Artikel auch nur weiter auf Mozilla verwiesen.

Sich Missstände mit relativierenden Vergleichen schönzureden führt zu nichts (Gutem).

Warum denn das ? Der Artikel zu FF ist x-Seiten lang und beleuchtet fast jeden Aspekt der Sicherheit.
Die Frage ist doch: kann man in irgend einem anderen Browser so detailliert (bis zur user.js) Dinge einstellen / modifizieren ?
Ich denke nicht.
Insofern finde ich diesen relativierenden Vergleich durchaus berechtigt.

Alternative wäre dann für Hardcore Freaks lynx o.Ä.

[willy4711]

Nach meinem Dafürhalten ist es richtig eine Firefoxversion > FF ESR 78.x zu nutzen.
Wie leicht die Lücken auszunutzen sind kann ich leider nur mutmaßen, aber da waren ein paar bummer bei: https://www.mozilla.org/en-US/security/ ... sa2021-49/

Schon richtg.
Ich persönlich glaube, dass es für den normalen Nutzer nicht allzu gefährlich ist, solange er nicht sensible Daten oder Webseiten aufruft.
Kann es aber in Wirklichkeit nicht einschätzen.
Aber weil ich es eben nicht wirklich kann, verbietet sich für mich jede Nutzung des normalen Browsers z.B. für Banking-Geschäfte.
Auch wenn alle Welt beteuert dass das 100% sicher ist ---am besten mit dem ganz ganz sicheren Smartphone

Das einzige, was ich mal (sehr selten) mache: Über den Tor-Browser

Code: Alles auswählen

firejail --noprofile torbrowser-launcher

mal schnell nach dem Kontostand zu sehen.
Klick Klack und wieder zu.

[slu]

Ich hatte gestern mal im Bug Tracker gesucht aber nichts gesehen.
Irgend eine Richtung wäre gut zu wissen...

[ung]

999604

[rockyracoon]

Firefox-ESR-91.4 Release = 7/12/21: https://wiki.mozilla.org/Release_Management/Calendar

[mcb]

999604

Danke!

[mcb]

Firefox-ESR-91.4 Release = 7/12/21: https://wiki.mozilla.org/Release_Management/Calendar

Meinst du für Stable gibt es dann gleich 91.4 zu Weihnachten?

[rockyracoon]

Firefox-ESR-91.4 Release = 7/12/21: https://wiki.mozilla.org/Release_Management/Calendar

Meinst du für Stable gibt es dann gleich 91.4 zu Weihnachten?

Wäre schön.

[slu]

999604

Letzte Stand von diesem Bug ist der 13.11.2021.
Es ärgert mich etwas das ich zu der Problemlösung nichts beitragen kann...