Zajímavé, že článek vůbec nijak neřeší bezpečnost. To je IMHO dnes u prohlížečů priorita číslo jedna. Neříkám, že ty prohlížeče v článku jsou automaticky nebezpečné, třeba opravy z Firefoxu přebírají, ale řeší to u nich někdo, mají někde jasnou komunikaci v tomto směru (jaké CVE opravili, jaké jsou případně nadále otevřené)? Třeba u Palemoonu jsem nic takového nenašel. Forkli si Gecko, ale prý to pořád drží dostatečně blízko Gecku, tak možná prý některé bezpečností opravy z Gecka přebírají. To je něco tak vágního, že mi přijde docela bláznovství to používat k seriózní práci.
Přijde mi to jako používat Favorit bez pořádných deformačních zón, airbagu, moderních brzd apod. kvůli tomu, že s Felicií Škodovka změnila uspořádání palubní desky a nefunguje s tím můj starý zámek na řadící páku. Proti gustu žádný dišputát, ale za mě ne, díky. Raději si zvyknu na novou palubní desku a pořídím si nový zámek než riskovat, že se v tom jednoho dne zabiju.
> ...ale řeší to u nich někdo, mají někde jasnou komunikaci v tomto směru (jaké CVE opravili, jaké jsou případně nadále otevřené)? Třeba u Palemoonu jsem nic takového nenašel.
Pak asi neumíš hledat...
http://www.palemoon.org/releasenotes.shtml
V unstable (a připravovaný 27.6.2) verzi jsou už opravený i kritický chyby z FF 57.
A Basilisk (a PM samozřejmě též, pokud se ho to bude týkat) viz např.:
https://forum.palemoon.org/viewtopic.php?f=61&p=127511#p127511
Release notes jsem samozřejmě četl, ale jaksi ten reporting nepovažuju za dostatečný. Napočítal jsem tam od začátku srpna 20 opravených bezpečnostních problémů, z toho jen 8 má uvedený CVE kód. Firefox za tu dobu opravil 63 CVEs. Co ten rozdíl? Je to opravené a jen to zapomněli uvést, nebo to opravené není, ale pracuje se na tom, nebo na tom nikdo nepracuje?
Počet opravených FF chyb se samozřejmě nemůže rovnat těm opravených v PM, protože jádro je jinde (navíc skoro každou ob-nightly probíhá leckde dost drastickej refactoring, kde se zcela mění kód, přesouvají a "pročišťují" se soubory, hodně se změnilo při přechodu na e10s, kde se spousta z toho nacpala do docshellu, což je zas poněkud jinej princip, a i kód, atd.).
Ale souhlasím, že přehlednější a jasnější by to chtělo, to ne že ne...
No prave... U kazdeho prohlizece musite vzdy duverovat jeho autorum - a u techto malych projektu, ktere trpi nedostatkem lidi a nejsou prilis schopny prebirat veci z upstreamu (ci nebudou moc dlouho), je to velky risk.
To prirovnani s autem je trefne. Zde se da ale doufat, ze diky jejich malemu market share, to nikdo exploitovat nebude chtit :-) Ale to je samozrejme vtip, takto se bezpecnost SW resit neda.