Bullseye: Firefox ESR noch mit der alten Version 78 in den Paketquellen

[fischig]

@hikaru
Hast du Erkenntnisse, inwieweit palemoon von der Problematik in der hiesigen Diskussion betroffen ist?
Meine Vorliebe für diesen Browser hat ja bisher ausschließlich kosmetische Gründe.

Hat Palemoon überhaupt schon rust-code?

Ich habe keine Ahnung, was das ist. Und es interessiert mich auch nur insoweit, als es sicherheitsrelevant ist.

[mcb]

Richtig, die 78er ESR-Version bleibt jetzt wie sie ist. Die 92er Version ist heute in sid eingetroffen und geht jetzt ihren Weg bis hinein nach buster/bullseye/bookworm.

Die 78er bleibt so, sollte aber über Security auf 91esr angehoben werden.
So hatte ich zumindest den Bugreport Ticket verstanden.

Selbstverständlich ist das so geplant - nur es verzögert sich alles. Hauptsächlich wegen dem Rustkompiler.

[mcb]

@hikaru
Hast du Erkenntnisse, inwieweit palemoon von der Problematik in der hiesigen Diskussion betroffen ist?

Hat Palemoon überhaupt schon rust-code?

[tobo]

Richtig, die 78er ESR-Version bleibt jetzt wie sie ist. Die 92er Version ist heute in sid eingetroffen und geht jetzt ihren Weg bis hinein nach buster/bullseye/bookworm.

Die 78er bleibt so, sollte aber über Security auf 91esr angehoben werden.
So hatte ich zumindest den Bugreport Ticket verstanden.

Das hast du richtig verstanden, deinstallieren muss man da also nichts. Und ja, 91 ist die kommende ESR-Version.

Man könnte die Problematik auch bei Mozilla, statt bei Debian sehen.
Zudem besteht Debian nur zu einem Bruchteil aus Firefox und das Betreuen von Firefox-Esr war immer ein spezielles Ausnahmevorgehen.

Wie kann man die Problematik zu Mozilla verorten? Mozilla macht den Browser. Die Aufgabe von Debian ist es, den Browser im Debian-Ökosystem unterzubringen. Und das schaffen sie halt diesmal nicht zeitnah.

[hikaru]

@dasebastian:

Habt ihr denn jetzt alle firefox-esr gepurged und wartet ab?

In alter Treue habe ich Firefox-ESR nicht gepurged, bin aber wie Du über die neuen Geflogenheiten überrascht.
Ich habe mir das "normale" Firefox über das Opt-Vorgehen installiert, dann als Standarbrowser definiert und warte nun ab, wie es weitergeht.

Um hier nochmal nachzuliefern:
Ich habe inzwischen ein Sid-chroot mit firefox-esr aufgesetzt und surfe damit.

Was dann genau der Punkt wäre, der meine bisherige Sicht auf Debian etwas ändern würde.

Diese Aussage erscheint mir, pardonnez-moi, etwas voreilig.
Man könnte die Problematik auch bei Mozilla, statt bei Debian sehen.

Mozilla wird sich aber nicht für Debian bewegen. Das haben sie in der Vergangenheit noch nie getan. Es bleibt also an Debian hängen. Und auch wenn es paradox klingen mag, ich glaube hier hilft es, dass vor Kurzem der Support für Chromium in Debian aufgekündigt wurde, denn sonst würde ich jetzt an Stelle des Firefox-Teams über eine Aufkündigung nachdenken.

@hikaru
Hast du Erkenntnisse, inwieweit palemoon von der Problematik in der hiesigen Diskussion betroffen ist?

Nein.

[rockyracoon]

@tobo/hikaru:
Du habt ihr recht, Mozilla ist hier nichts vorzuwerfen. Fehlannahme meinserseits.

Wenn man produktiv mit Debian arbeitet (z.B. Banking über Firefox-Esr), dann ist die jetzige Situation nicht akzeptabel.
Da stimme ich dasebastian zu.
Firefox über das Opt-Vorgehen zu installieren, ist meine Problemlösung.
Aber für Neueinsteiger sicher sehr schwer (Tar entpacken > mov-Befehl im Terminal> Benutzerrechte anpassen > Menulibre-Neueintrag mit dem richtigen Icon, Wow .).

Noch schwieriger für Neueinsteiger wäre:
@hikaru:

Ich habe inzwischen ein Sid-chroot mit Debianfirefox-esr aufgesetzt und surfe damit.

[dasebastian]

Diese Aussage erscheint mir, pardonnez-moi, etwas voreilig. (...) Zudem besteht Debian nur zu einem Bruchteil aus Firefox und das Betreuen von Firefox-Esr war immer ein spezielles Ausnahmevorgehen.

Jaja, ist schon klar, ich blieb ja auch noch im Konjunktiv. Aber Debian ist jetzt auch keine Religion. Bisher war ich eigentlich zu 110% überzeugt, jetzt gibt's mit dieser Situation halt einen Punkt, wo ich sage, es ist nicht alles Gold... Mehr is es nicht.

Nichtsdestotrotz ist der Webbrowser einer Distribution nun mal ein zentraler Bestandteil. Und wenn's da knirscht, dann finde ich das im Sinne des Wortes bemerkenswert.

Wird schon sein, dass da eine Lösung daher kommt. Ohne den Teufel an die Wand malen zu wollen, bei einem Browser können einige Tage/Wochen halt auch schon problematisch sein, wenn man weiß, dass es da Lücken gibt. Ich will gar nicht wissen, wer das alles NICHT mitkriegt.

[rockyracoon]

@dasebastian:

Aber Debian ist jetzt auch keine Religion. Bisher war ich eigentlich zu 110% überzeugt, jetzt gibt's mit dieser Situation halt einen Punkt, wo ich sage, es ist nicht alles Gold... Mehr is es nicht.

Ich muß Dir hier leider voll und ganz zustimmen.
Allerdings sollte man im Auge behalten, dass es sich bei Debian um eine nicht-kommerzielle Distribution handelt.
Und ob es bei anderen Distributionen besser bestellt ist, sei dahingestellt.

Nichtsdestotrotz ist der Webbrowser einer Distribution nun mal ein zentraler Bestandteil. Und wenn's da knirscht, dann finde ich das im Sinne des Wortes bemerkenswert.

Wird schon sein, dass da eine Lösung daher kommt. Ohne den Teufel an die Wand malen zu wollen, bei einem Browser können einige Tage/Wochen halt auch schon problematisch sein, wenn man weiß, dass es da Lücken gibt. Ich will gar nicht wissen, wer das alles NICHT mitkriegt.

Auch hier mein volles d`accord.
Wie oben mehrfach geschrieben, habe ich sofort per Opt auf Firefox 94.0.2 umgestellt und bleibe sicherheitshalber wahrscheinlich dabei.

[fischig]

Nichtsdestotrotz ist der Webbrowser einer Distribution nun mal ein zentraler Bestandteil.

Für mich nicht. Ist halt blöd, wenn man sich abhängig macht von Sachen, auf die man keinen Einfluss hat.

[rockyracoon]

Nichtsdestotrotz ist der Webbrowser einer Distribution nun mal ein zentraler Bestandteil.

Für mich nicht. Ist halt blöd, wenn man sich abhängig macht von Sachen, auf die man keinen Einfluss hat.

Und wie willst Du dann Online-Banking machen?
Über Windows-11und Edge?
Oder noch "besser" per Smartphone mit Android?

[fischig]

Zur Not kann ich's auch lassen. So fußkrank bin ich noch nicht, dass ich den Weg zur Bankfiliale nicht mehr schaffte. Und noch gibt's sowas ja!

Ich bin ja so'n ewig Vorgestriger: Gibt's keine älteren Versionen, die dann zwar bestimmte features noch nicht bieten, dafür aber auch deren Fehler nicht?

[dasebastian]

Ist halt blöd, wenn man sich abhängig macht von Sachen, auf die man keinen Einfluss hat.

Hmm, ich habe 1 (einen) Rechner, bin selbständig -> der ist mein Produktivsystem. Ja, ich stimme dir zu, bin da abhängig, ohne Einfluss zu haben. Alternative sehe ich nicht, is so.

Schwersten Herzen hab ich jetzt mal flatpak installiert und überbrücke das damit. Der Rest schmeckt mir zu sehr nach Bastelei (auf die ich im Moment aber sowas von keine Lust habe)...

NACHTRAG:

So fußkrank bin ich noch nicht, dass ich den Weg zur Bankfiliale nicht mehr schaffte.

Naja, gibt bessere Witze. Trotzdem Peace!

[rockyracoon]

Zur Not kann ich's auch lassen [Edit: Online-Banking]. So fußkrank bin ich noch nicht, dass ich den Weg zur Bankfiliale nicht mehr schaffte. Und noch gibt's sowas ja!

Kein Kommentar nötig, der Beitrag spricht für sich selbst...
@dasebastian:

Trotzdem Peace!

Ich schließe mich dieser Haltung an.
@fischig:

Ich bin ja so'n ewig Vorgestriger

Ich auch. Du würdest staunen, wie alt ich bin. Aber Up-To-Date-bleiben und lebenslanges Lernen verlangsamt Alterungsprozesse des Neo-Cortex.

[fischig]

Ja, ich stimme dir zu, bin da abhängig, ohne Einfluss zu haben.

Meine These bezüglich Abhängigkeit ging eigentlich nicht an deine Adresse, sondern eher an die von Debian. Und dass das in deinem Fall ein gravierendes Problem ist, bestärkt mich nur in meiner Position.

[dasebastian]

@fischig: Ach!! Komplettes Missverständnis, sorry!

[rockyracoon]

@fischig: Ach!! Komplettes Missverständnis, sorry!

@fischig:

Meine These bezüglich Abhängigkeit ging eigentlich nicht an deine Adresse, sondern eher an die von Debian.

Das konnte man beim Lesen aber wirklich anders verstehen, beziehungsweise war - sorry - mißverständlich von Dir geschrieben.
Aber wie sollte Debian vorgehen, will sagen, welcher Browser bleibt dann übrig?
Epiphany?

[fischig]

Aber wie sollte Debian vorgehen, will sagen, welcher Browser bleibt dann übrig?

Ich habe keine Lösung, rocky. Aber ich werde deswegen auch nicht die Distribution wechseln. Ich ärgere mich nur und hoffe, dass der Kelch vielleicht mit palemoon an mir vorbeigehen möge.

[rockyracoon]

Aber wie sollte Debian vorgehen, will sagen, welcher Browser bleibt dann übrig?

Ich habe keine Lösung, rocky. Aber ich werde deswegen auch nicht die Distribution wechseln. Ich ärgere mich nur und hoffe, dass der Kelch vielleicht mit palemoon an mir vorbeigehen möge.

Palemoon war für manche Threads ein Thema. Ich habe in Erinnerung, dass Palemoon noch mehr Fragezeichen aufwirft, als Firefox-Esr.
Wer Debian produktiv einsetzt, kommt aber imho an der Browser-Frage nicht vorbei.
Was spricht gegen die Verwendung des aktuellen Firefox per Opt oder meinetwegen Flatpak?

[dasebastian]

Aber ich werde deswegen auch nicht die Distribution wechseln.

Das steht bei mir aber auch nicht zur Debatte!

[mcb]

..........
Was spricht gegen die Verwendung des aktuellen Firefox per Opt oder meinetwegen Flatpak?

Gege flatpak spricht so einiges und der Firefox in /opt ist eben eine "Fremdquelle".

Aber beides besser als Sicherheitslücken? Wenn man ehrlich ist wohl schon.

Firefox in /opt läuft hier recht unauffällig. Das Flatpak ist ein wenig blöd in der Performance ...

[rockyracoon]

..........
Was spricht gegen die Verwendung des aktuellen Firefox per Opt oder meinetwegen Flatpak?

Gege flatpak spricht so einiges und der Firefox in /opt ist eben eine "Fremdquelle".

Aber beides besser als Sicherheitslücken? Wenn man ehrlich ist wohl schon.

Flatpak mag ich auch nicht. Ich wollte nur tolerant posten.
Für mich kommt nur Opt in Frage.
Fremdquellen lehne ich in der Regel ab, es gibt aber wohlüberlegte Ausnahmen.
Wenn Firefox-Esr schwerwiegende Bugs hat, ist meiner bescheidenen Meinung nach das normale Firefox per Opt (= Fremdquelle) das kleinere Übel.

Das Flatpak ist ein wenig blöd in der Performance ...

Das kann man wohl sagen.
Ich habe es getestet und als inakzeptabel empfunden.

[mcb]

Ja da sind wir auf einer Linie. ^^ ich hatte nochmal ediert. Und das FF Flatpak habe ich mal ausprobiert.

[dasebastian]

Aber beides besser als Sicherheitslücken? Wenn man ehrlich ist wohl schon.

+1

Das Flatpak ist ein wenig blöd in der Performance ...

Performance (Geschwindigkeit?) ist bei mir ok, aber es hapert im Moment eher noch an der Darstellung der Schriften, gewisse Seiten passen, debianforum hier zB. furchtbar... Aber für die Überbrückung sollt's reichen, dann fliegt der Krempel eh wieder in Bausch und Bogen.

[rockyracoon]

@dasebastian:

ist bei mir ok, aber es hapert im Moment eher noch an der Darstellung der Schriften, gewisse Seiten passt, debianforum hier zB. furchtbar... Aber für die Überbrückung sollt's reichen

Bei mir (Debian-Stable / Gnome3) zeigte Flatpak ähnliche Mucken und ich fand das nicht "O.K.".
Ohne aufdringlich sein zu wollen, empfehle ich Dir, Firefox in Opt zu installieren und freizugeben. Das funzt problemlos und kann mehr sein, als eine "Überbrückung", weil wer weiß, wie sich die Esr-Geschichte weiter entwickelt.

[tijuca]

Mhh, was man(che) da so rein interpretieren ...

Die Situation ist aktuell an sich überhaupt nicht anders wie bei den anderen ESR-Versionssprüngen der Mozilla / MZLNA Produkte. Ein gewisses Lag gab es also schon immer wenn die alte ESR-Version offiziell EoL gegangen war und es eventuell auch schon zwei neue ESR-Versionen gab die es nicht in die aktuelle stabile Version von Debian geschafft haben. Nur geht davon die Welt nicht unter, auch betreffen die gefundenen Sicherheitslücken auch eher einen kleinen Teil der Benutzer, daher bitte nicht überbewerten. Man mache sich doch bitte mal die Mühe und schaue ganz genau in das Fehlverhalten der CVEs. Das ist fürs Homebanking oder auch Amazon etc. allgemein eher unbedeutend. Oder macht Ihr Homebanking auf einer dubiosen Webseite die in Panama liegt? Auch dürften für das tägliche Leben Webseiten die momentan mit einem FF 78 überhaupt nicht mehr funktionieren so gegen Null gehen. Oder hat jemand einen Gegenbeweis? Ich stimme zu, dass es bei Jitsi und eventuell BBB eventuell haken kann, das hängt dann aber auch davon ab wie aktuell diese Instanzen sind.

Was den Upgradepfad angeht hat sich auch nichts geändert, eine neue ESR-Version (egal ob diese jetzt noch 78.x oder schon 91.x ist) wandert de-facto automatisch nach stable-security als auch nach oldstable-security. Und wandern danach auch wiederum recht automatisch in die jeweiligen nächsten Pointreleases. All das wird passieren sobald die nötigen Abhängigkeiten zum Bau der Binärpakte im Repo angekommen sind. Vorher kann ein Maintainer auch nicht wirklich was an einer Aktualisierung arbeiten.

Keep calm sagen die Menschen auf der Insel, und Recht haben sie.