Názory k článku
Chrome 118 přináší novinky pro vývojáře

Už mne tohle zkracování intervalu začíná pomalu štvát.
Máme stroje bez připojení na internet, kde ten Chrome musíme instalovat ručně, a navíc musí být v podstatě aktuální, protože jinak to vyleze na bezpečáckém reportu neaktuálních aplikací. Za chvíli místo pořádné práce budeme jen obcházet stroje a instalovat prohlížeč...

Chrome odinstalovat,
nainstalovat Firefox ESR.
Problém vyřešen.

BTW: taky se potkáváte technologická zařízení která vyžadují "přístup do Internetu". Aby se pak zjistilo, že si jen pingají o 8.8.8.8 nebo o www.google.com, aby detekovali že jsou "na síti" ... a bez toho nenaběhnou.
Za to bych ...

Tak zrovna tohle je triviálně řešitelné na prakticky jakémkoli enterprise firewallu (ideálně DNATnout na něco lokálně, ať to pingá i když upadne z nějakého důvodu konektivita).
Ale souhlasím, že je to na zabití.

Pokud tam opravdu nepotřebujete aktuální chrome, tak to spíš vypadá na chybu v bezpečáckém reportu.

Bezpečácký report nemá chyby - to je axiom, o tom se nediskutuje. ;oD

Jasně, chyba je v procesech, protože zastaralý software je považován za potenciálně zranitelný. A ten report stejně upozorňuje především na nesoulad s předpisy, nikoliv na to, že by tam skutečně nějaké nebezpečí hrozilo.
Jenže: mít věci podle předpisu je důležitější, než je mít správně... ;oD

Máte nejspíš těžký život :( Nebo mi to tak aspoň přijde podle skoro každé zprávičky, kam píšete reakce.. všechny novinky blbě, zmar kam se podíváte :)

Netuším, co máte za platformu s Chromem, ale tohle by se přeci mělo dát automatizovat, i když daný počítač není připojen na internet.
Pokud je to nějaká větší enterprise síť s víc aplikacemi, tak jsou komerční technická řešení, co přesně tenhle "application management" řeší. Krom toho, že to reportuje verze aplikací na stanicích a serverech, tak je to umí podle pravidel automaticky aktualizovat z dedikovaného serveru v síti. Vy jako administrátor nemusíte řešit zjišťování nových verzí daných aplikací (Chrome, Office, utility, Visual Studio ..cokoliv běžného), jede to automaticky - máte typicky subscription od vendora té management aplikace a dostáváte automaticky aktualizace o nových verzích.
Jinak prohlížeče založené na Chromiu (i Vivaldi třeba) na Windows a macOS používají pro aktualizace protokol od Google, který se jmenuje Omaha. Existují zas komerční enterprise produkty, co vám umožní mít někde hostovaný svůj repozitář a mít povolenou komunikaci jen tam.

Finálně by to samozřejmě mělo jít udělat we Windows "na prasáka" s pár relativně jednoduchými skripty. Na serveru, co má přístup do internetu si budete denně automaticky stahovat/aktu­alizvoat MSI instalátor od Chrome ( dohledat např. permalink na googlechromes­tandaloneenter­prise64.msi ). Stanice pak nevidí na internet, ale jen na share toho serveru, budou mít naplánovaný nějaký lokální PowerShell skript, co ten MSI vždy třeba ve 3:00 v noci nainstaluje. Na prasáka proto, že aby se zavedla nová verze, tak skript bude muset ukončit/zabít všechny běžící instance Chrome, aktualizovat a otevřít je znovu. Nativní update přes Omaha, má tohle samozřejmě lepší, ale nemusí to být nutně vždycky problém.

Však já nejsem proti všem novinkám: kupříkladu systemd mi v podstatě nevadí. Jen mi vadí takové novinky, které mi jen komplikují práci.
Jasně, že máme automatizační software, kterým se uživatelům na stanice nasype vždy čerstvý Chrome - jen není (z pochopitelných důvodů) používaný pro servery. Jenže na těch máme programy, které ten Chrome potřebují, případně je potřeba pro ověření, že ty aplikace fungují, jak si dodavatel představoval. A oprašovat je, to je prostě naše povinnost. (Mimochodem: zrovna ve 3 v noci bych to na těch serverech nedělal - to je velká pravděpodobnost, že tam někdo pracuje a ten Chrome potřebuje. ;oD Ale v 8 ráno by to asi šlo...)

cron, at, bash, curl, ... by som sa pozrel aby to neslo automaticky
Mozete ho updatnut aj za chodu, nic sa mu nestane.

Pokud vám jde o bezpečnost toho chromu, tak mezi major verzemi zhusta vycházejí minor verze, které opravují bezpečnostní chyby a měli byste je instalovat (a mít radost z toho, že bezpečnostní problémy jsou opravovány ASAP a nevyčkává se na "patch tuesday" jako u jiných nejmenovaných společností). Frekvence major verzi v tom nehraje vůbec žádnou roli a report by měl hlídat i ty minor verze. Pokud vám na tom nezáleží, tak se to v tom reportu nemá objevit. V obou případech za váš pos^Hkažený ží^H^Hden nemůže Google, ale vaše company policy ;-)

Ten report je programovaný někde v Indii a hlídá major verse - bez ohledu na to, zda tam je či není důležitá záplata.
V praxi to v případě závažné chyby sami opravíme ASAP, ale hlavně nesmíme zapomenout posunout major versi odpoledne před bezpečnostním scanem - protože to je to, co managory zajímá.

OMG, a o privatnich repozitarich jste uz slyseli?

Máme, ale Chrome je pouze na desktopy, do balíčků pro servery ho nikdo dávat nebude.

Aneb „vyhýbáme se nástrojům, které jsou přesně pro naši situaci určené, a pak si stěžujeme, že nástroje určené pro jiné situace jsou pro nás nevhodné“.

Takové tvrzení může zaznít o někoho, kdo na to má vliv. Žel, rozhodovací proces ve velkém koprolátu jde úplně jinými cestami...

Bývaly časy, kdy jsem pro celou LAN držel jedinou verzi prohlížeče, uloženou na serveru na RO disku.

Ale to bylo ještě v dobách, kdy browser nebyl raketoplán.

(W)SUS není možný? Vždyť v korkorátu ani není nic jiného bezpěčného, než centrální repo (prověřené) pro aktualizační obrazy.