Debian und Firefox ist momentan ein heißes Eisen. Eine Distribution, die sich Sicherheit und Stabilität auf die Fahnen schreibt und dann wochenlang keine Firefox-Updates verteilen kann, steht zurecht im Zentrum der Kritik. Zumindest dieses Problem scheint bald gelöst.
Normalerweise ist so etwas keinen Blogartikel wert, aber da ich mich zu dem Problem hier bereits zwei Mal geäußert hatte, gehört es zur Korrektheit auch die weitere Entwicklung zu spiegeln.
Ausgehend von der Phoronix-Meldung hatte ich hier wie auch andere berichtet, dass eine Inkompatibilität mit Mesa das Problem wäre. Dem scheint nicht so gewesen zu sein. Grund war vielmehr ein Problem mit dem Rust-Compiler, was unter anderem in diesem Bug nachzulesen ist. Diesen Compiler braucht aber nur der Maintainer, der Anwender benötigt für die Nutzung von Firefox keinen Rust-Compiler.
Es geht dabei also um ein eher “akademisches” Problem. Ohne die Verfügbarkeit unter Debian Stable würde man allerdings keine “Reproducible Builds” erreichen. Ich bin grundsätzlich ein Befürworter von reproduzierbaren Builds, denn wie soll man sonst sicher sein, dass die Binärprogramme wirklich dem freien Quellcode entsprechen und nicht davon abweichen. Das Problem hat uns schließlich bei TrueCrypt viele Jahre begleitet, bevor es “gelöst” werden konnte. Reproduzierbare Builds als eher theoretisches Problem so hoch zu gewichten, dass dadurch alle Stable-Nutzer wochenlang auf ein sicherheitskritisches Firefox-Update warten mussten, ist aber eine andere Hausnummer.
Meine ursprüngliche Bewertung, dass es sich hier um ein originäres Debian-Problem handelt, gilt daher immer noch. Denn Debian hat anscheinend wochenlang mit sich gerungen, ob es für ein Programm eine Ausnahme machen möchte oder eine extra Abhängigkeit nur für Firefox in die stabile Distribution einziehen will. Zumal das Problem ja auch nur entstand, weil man zum Release ein relativ altes Paket rustc auslieferte. Zur Erinnerung: Die in Stable enthaltene Variante war aus dem November 2020.
Außerdem löst das Update von Firefox nur ein Problem und befreit die Anwender nicht von den unsicheren anderen Programmen, wie z. B. Chromium. Die Probleme sind und bleiben eben doch größer als Firefox.
Danke für die Ergänzung.
Auch wenn ich den Grundtenor Ihrer bisherigen Artikel dazu verstehen kann, teilte ich die jeweiligen Interpretationen und Zukunftsprojektionen nicht.
Allerdings möchte ich mich für diese Ergänzung explizit bedanken, da gerade solche Kleinigkeiten zeigen, ob man es mit einem Demagogen zu tun hat oder einem vernunftfähigen Wesen.
Ich bin eigtlich echt ein Fan von Debian und kann mit manchen Dingen gut leben, aber diese Sache mit dem Firefox lässt mich dann doch zweifeln.
Der Browser ist halt nicht das Notepad, oder so. Und den FF will ich gleich aktuell haben und nicht Wochen später. Ich weiß auch, wie ich einen aktuellen FF auf den Rechner bekomme, aber darum geht’s nicht. Das Update muß kommen, wenn es rausgegeben wird.
THX für die Infos hier.
Auch von mir ein Danke für die Infos.
Ich bin nach vielen Jahren mit Debian Stable drauf und dran, mich zu verabschieden. Grund ist nicht nur das Vorhandensein der Sicherheitslücken, sondern vor allem der Umgang mit ihnen. Wenn der empfohlene Browser nicht zeitnah aktualisiert werden kann, *muss* das an prominenter Stelle kommuniziert werden.
Vom User zu erwarten, dass er zufällig über einen Artikel auf Phoronix stolpert oder sich die nötige Info im Security Bug Tracker aus den CVE’s holt ist ein schlechter Witz und sagt viel über die Wertschätzung der User aus.
Dann ist es nicht mehr weit bis zu dem Eindruck, dass die Zeloten bei Debian mehr mit Grabenkämpfen um die reine Lehre, als mit dem Erstellen einer benutzbaren Distri beschäftigt sind.
Wenn dir Fairness wichtig, solltest du den Artikel noch um zwei Punkte ergänzen:
Erstens, dass Debian stable kurz nach Erscheinen des Artikels auf Firefox 91 ESR, also die aktuelle ESR Version, aktualisiert wurde.
Und zweitens, dass das hier eine ungewöhnliche Ausnahme ist. Im Mittel gehört Debian bei den Security Fixes zu den schnellsten Distributionen. Das hat man beispielsweise gerade erst beim Thema log4j wieder gesehen. Viele sicherheitsbewusste Anwender setzen Debian genau aus diesen Grund ein.
Das mit dem Tempo bei den sicherheitsrelevanten Updates war mal so, stimmt. Inzwischen muss man da leider Fragezeichen hinter machen: https://curius.de/2021/12/debian-verzoegerung-bei-sicherheitsaktualisierungen/
Naja, wir wollen mal nicht vergessen, daß bei Debian überwiegend freiwillige Helfer/innen arbeiten, die das alles ohne finanzielle Interessen stemmen. Bei Microsoft oder Canonical sieht das naturgemäß anders aus. Ich kenne mich nicht genau mit der Arbeitsstruktur bei Debian aus, aber “Wunder” darf man von einem gemeinschaftlichen Projekt nicht erwarten. Manchmal sind die Leute bei Debian enorm schnell und fix, manchmal auch etwas träge und langsam. Daraus aber gleich abzuleiten, daß Debian jetzt “obsolet” wäre, halte ich für extrem stark überzogen. Ohne Debian fallen ja auch gleich ein paar Dutzend andere Distros weg, das wollen wir nicht vergessen.
Debian ist nicht alles, aber ohne Debian ist alles nix. 😉
Und wieder mal die Freiwilligkeit als Argument, um Defizite zu rechtfertigen. Ist ja nicht falsch, aber dann muss Debian auch damit leben, wenn ich oder andere sagen, dass man einem solchen auf freiwilliger Arbeit basierenden Projekt nicht mehr vollständig vertraut.
Gegenfrage: Worauf vertraust du dann? Ich bin froh, daß es freiwillige Projekte wie zB Debian gibt. Andererseits wird überall gejammert, wie kommerziell die Welt doch heute geworden ist. Macht man das eine, ist es falsch – macht man das andere, ist es auch falsch.
Debian hat die Erwartungshaltung der User auf schnelle Reaktion bei Sicherheitsproblemen durch seine Eigenwerbung doch erst geschaffen. In diesem Fall hat man andere Prinzipien (reproducible builds) offensichtlich höher gewichtet und die Erwartungen deshalb nicht erfüllen können.
Und das soll man wegen der Freiwilligkeit nicht kritisieren dürfen?
Warum hier die Ebene “freiwillig vs. kommerziell” aufmachen? openSUSE Leap ist auch kein kommerzielles Produkt und Ubuntu ist genau so frei wie Debian. Kein Anwender von Ubuntu auf dem Desktop zahlt dafür einen müden Cent an Canonical.
Das ist richtig. Aber wir wollen nicht vergessen, ohne Debian gäbe es auch kein Ubuntu und viele andere Distros ebensowenig. Ich denke, das Problem (bei Debian) ist fehlende Manpower/Entwickler/Programmierer und die Spendenbereitschaft. Ich überweise regelmässig etwas an Debian, nicht viel – aber wenn mehr Menschen das machen würden, sähe es heute vielleicht besser aus. Aus gesundheitlichen Gründen kann ich jedoch nicht aktiv werden, auch ich das gerne tun würde, dafür bin ich leider zu krank.
Ich glaube das hier ist nicht der Ort, um das im Detail auszudiskutieren, aber ich glaube Debian krankt eher an seiner Organisation und der veralteten Technik. Fedora hat z. B. deutlich weniger Entwickler (nur knapp 1/3) und bekommt eine höhere Schlagzahl hin. Moderne Distributionen arbeiten mit vielen Tools, die Arbeit erleichtern und viel automatisieren, wo Debian noch Handarbeit verlangt.