Názory k článku
Neutěšený stav prohlížečů v Debianu
-
Co se týče té mesy, dá se nainstalovat verze z testingu, sám jsem to tak před časem měl, ale vyžaduje to hodně hraní ladění a pinování balíků a popravdě nevím, jestli to pořád funguje, protože jsem to opustil.
Ale z dlouhodobého hlediska to je neudržitelné, a možná jediná možnost bude jít cestou z ubuntu...tj snap/docker/flatpack.. -
Přesně takto to dělám, mám stabilní verzi a ní přidaný ze sidu kernel a mesa, důvod je tedy hlavně to, že kernel ve stabilní verzi plně nepodporuje můj hardware. Plus přidávám pár balíků e sidu jako právě Firefox. Ale jak se bude vzdalovat sid od stabilní verze, tak to bude čím dál horší udržet. Většinou to takto dělám tak půl roku od vydání a pak přejdu na testing. Tento přístup se mi osvědčil. Většinou jsem +- na verzi software v Ubuntu, někdy i novější. A testovací verze až na výjimky většinou funguje dobře.
-
Já měl přidané i repa z ubuntu, ale jak píšete, nejde to bohužel držet moc dlouho. Taky jsem měl chvíli firefox v dockeru, ale taky to nebylo moc dobré. Na druhou stranu, pokud by někdo hacknul můj firefox je mi to jedno, protože stačilo jen redeploynout, ale nepovedlo se mi to odladit k mé spokojenosti.
-
-
L.Stříbrný podporovatel
Před dvěma lety jsem podlehl hype a zkusil VSCode. Po měsíci trápení jsem se pokorně vrátil k IntelliJIDEA.
-
L.Stříbrný podporovatel
Já taky (aktuálně) ne, tohle bylo o Typescriptu.
10. 12. 2021, 08:54 editováno autorem komentáře
-
Ondra Satai NekolaZlatý podporovatelIntelliJ ma plugin na hodne z tohohle. A pripadne jsou pro tyhle veci pripravena extra IDE na tom samem zaklade...
-
si trochu rýpnu, vývojové tempo Debianu neodpovídá skoro žádnému balíčku :).
Je to problém a přesně důvod proč jsem z Debianu odešel. Znám několik maintainerů a vím kolik dělají práce a jak se o svoje balíčky starají, ale jako celek je Debian plný neaktualizovaných a nebezpečných balíčků, je to dlouhodobý problém.
-
Ono dost záleží na použití.
Na serveru je Debian STABLE skvělý - má rozumně dlouhou podporu, vychytaný upgrade na novější stable a balíčky dostávají bezpečnostní aktualizace za zachování kompatibility. Na desktopu je to ale na houby. Starý prohlížeč je v současnosti velmi silný argument. Ale ono i desktopové prostředí za ty dva roky umí pěkně zastarat.
Osobně proto používám na desktopu UNSTABLE. To unstable neznamená, že padá, není stabilní a tak, ale že se mění verze balíků, takže může dojít ke změně třeba konfiguračních souborů. Ale jako rolling distro pro desktop mi to nevadí, funguje to dobře a balíky mám aktuální. Co nevím, tak jaké jsou aktuální verze prohlížečů, protože mne to asi netrápí. Mám nainstalovaný Firefox a Vivaldi (vivaldi je z externího repo) a vím, že FF můžu mít ve variantě "latest" a ESR. V unstable je k dispozici 95 a 91, v testing zatím 78 stejně jako ve stable. Takže alespoň zde mi to přijde OK.
Já bych tedy nebyl tak kritický k Debianu. Ano, obsahuje neaktualizované balíky, ale často to jsou aplikace, které se už prostě nevyvíjejí a není za ně náhrada. Takže díky alespoň za neudržovanou verzi (poslední dostupnou).
-
ano, na server, ale pak člověk narazí, že v bullseye v stable repository není u nodejs balíčku ještě opravený CVE-2021-22960 ani po 9 měsících od zveřejnění, na server se pak hodí třeba varnish, opět neopravený CVE-2021-36740 pro http/2.
Problém za mě je, že to je občas minové pole a nikdy nevím jaké balíčky vlastně mohou použít a kdy jaké budou opraveny, takže sice člověk používá debian stable, ale všechny aplikace běží z dockeru. Nám na debianu OWASPy křičí pernamentně.
Je to škoda, za Debianem je spousta práce, spousta dobrovolníků, ale situace, kdy opakovaně trvá příliš dlouho oprava balíčků v stable kanálech je její použití na serverech trochu problematické, člověk musí pořád něco hotfixovat, pořád vymýšlet nějaký workaround na zalepení zranitelností.
-
Jakub Valenta (neregistrovaný)
Zrovna node je v debianu špatný obecně. I v unstable je pořád verze 12, které končí podpora v dubnu. Node ale poskytuje debianí repozitáře, kde je všechno v pořádku. Tipnul bych si, že kdo používá node, tak pravděpodobně běží v kubernetu a jako base má alpine. Takže je minimální tlak na jeho údržbu v debianu. Skoro by mi přišlo lepší, kdyby to úplně odstranili.
10. 12. 2021, 07:58 editováno autorem komentáře
-
alpine odstraňuje balíčky, které se nějakou dobu neaktualizovali, možná to je cesta jak to mít čištější. Nevidím výhodu v tom mít sice balíček, ale starý a neaktualizovaný.
Neřekl bych, že kubernetes je tak rozšířený, dělá se kolem toho hype, ale reálně ho buď potkávám buď v cloudu, tam mě debian nezajímá nebo u větších společností. Náklady na jeho správu jsou astronomické, až zbytečně.
K čemu mi je teda debian, když všechno potřebný si stejně instaluji z externích zdrojů? Pak je pro mě lepší nějaká tenká distribuce, clearlinux, busybox. Pokud ho mám jako pracovní stanici, zase mě ten jeho repositář omezuje. Zápasení s pinováním, prioritou a jinými apt nástroji je těžké i pro ostřílené linuxáře.
-
Fedora to dělá taky, ač asi ne tak striktně. Dřív jsem kvitoval co největší počet balíčků v repozitářích. Teď, když to vidím i z druhé strany, už ten názor nesdílím. Distribuce by IMHO měla dělat méně a lépe než naopak. Pak to dopadá tak, že distribuční repozitáře jsou bezpečnostní minové pole. Ti, co nemají moc přehled, pak instalují z repozitářů, protože to je o jednom příkazu a často ani netuší, že používají starou, nezáplatovanou verzi a v horším případě ještě s bezpečnostními dírami, a ti, co mají přehled, musí zase zápasit s hromadami externích zdrojů.
-
Mně přijde, že to tempo je dostatečné. Nevyžaduji, aby po vydání nové verze software byl druhý den přidán do Debianu :) Spíš mne štvou neaktualizovaný software, např. vynikající náhražka matlabu je FreeMath, ale díky tomu, že je na gtk2, tak už z Debianu vypadla. Mám tedy Windows verzi přes Wine, ale není to ono. Občas to blbne.
S prohlížečem nemám problém, i kdyby byl funkčností trochu pozadu, spíš mi vadí to hloupé číslování. 95 verze? Zlaté číslování major.minor.
-
Celý ten problém spočívá právě v tom, že nelze oddělit funkčnost a bezpečnostní opravy. U menších balíčků se to běžně dělá: držíte roky stejnou verzi, jen v ní opravujete bezpečnostní chyby. Protože se verze nemění, jmenuje se to Debian stable.
U prohlížečů je tenhle přístup velký problém, protože změn je hodně a upstream žene dopředu verze, ve kterých se míchají bezpečnostní opravy a nové vlastnosti. Protože to je obrovské a rychlé, nezvládají to distributoři řešit (backportovat opravy zpět do starých verzí) a musejí chtě nechtě měnit verze prohlížečů i ve stabilních repozitářích.
-
Chromium trpí na stupídnu chybu https://bugs.chromium.org/p/chromium/issues/detail?id=1106691
Broken beyond repair. By designⓇ
9. 12. 2021, 16:31 editováno autorem komentáře
-
To ano, ale zrovna u toho Firefoxu je to jen díky tomu, že nový ESR neběhá na MESA ve stabilní verzi, jinak by tam už asi byl. Měli by tam prostě backportovat i tu MESU a byl by klid, stejně to dřív nebo později udělají (určitě do 11.1), nebudou přece pořád spravovat verzi 78.
Přece jen to stabilní neznamená ani tak stabilní programy jako stabilní závislosti jednotlivých balíčků (určitě to bude někdo rozporovat a bude mít pravdu, ale já to vnímám spíš takto). A zrovna u mne ta sid kombinace linux 5.15.5+mesa 21+firefox 95 funguje mnohem lépe než to co je ve stable. Ale ani to nechodí úplně na 100%, hlavně kvůli problémům s grafikou. Občas se to neprobere, občas blbne bloutooth, nefungují pořádně sensory (i když je to už aspoň najde). Prostě se mi potvrzuje, co vždy říkám - linux chodí dobře na min. 2 roky starém železe, než se to vše odladí.
-
Filip JirsákStříbrný podporovatelPodle mne je to spíš tak, že prohlížeče mezi prvními přiznaly, že je nereálné rozlišovat bezpečnostní opravy a jiné změny. Za prvé bezpečnost není ano/ne, je to škála – některé opravy jsou hlavně bezpečnostní, ale mohou být i takové úpravy, které jsou sice primárně zaměřené na něco jiného, ale mohou mít i bezpečností dopad.
Druhá věc je, že když se udělá backport jedné opravy, vzniká tím úplně nová verze, která by měla mít stejnou péči, jako normální upstream verze – a na to nikdo nemá prostředky.
Dělat jenom bezpečnostní opravy má smysl u nějakého softwaru pro řízení letadel nebo zabezpečovacího zařízení, kde se ta verze s opravou testuje opravdu stejně, jako nová verze. Ale těch změn se tam dělá minimum.
Backportování oprav je podle mne překonaný koncept a je lepší soustředit se na to, jak předcházet chybám při provozování aktuálních verzí, než se pořád snažit udržovat staré verze a předstírat, že jsou bezpečnější.
-
Vždyť jsou to jen inkrementující se čísla. A je jedno, jestli mám verzi 3.11.420 nebo 8427. Zvláště pokud je to aplikace, která má rolling updates.
Major/minor verzování má smysl tam, kde major verzí chci zajistit kompatibilitu - aplikace verze 4.0 má kompatibilní chování s verzí 4.9999, ale už ne s 3.99999999999... nebo 5.0. Zároveň to znamená, že ale vývojář udržuje 3 řady: 3.X, 4.Y, a 5.Z.
To ale není případ prohlížečů, které mají systém nejnovější verze vyhrává. Na druhou stranu i ten FF používá u ESR major.minor. Holt je major číslo trochu větší než očekáváš: 91, 78...
-
Připadá mi to nejlepší řešit přes https://sourceforge.net/p/ubuntuzilla/wiki/Main_Page/
Nebo nainstalvoat třeba brave z oficiálního repa.
Myslím že i backport repozitáře jsou zastaralé nebo tam ff není.V ubuntu je to v repozitáři update ale i tam jsou trošku starší verze. například
deb http://ftp.sh.cvut.cz/ubuntu/ bionic-updates main restrictedMožná by bylo fajn mít prostě pro debian víc balíčků v backports a lepší podporu nebo mít update repo nebo tak něco..
Aby byl debian stable použitelný na desktopu tak to chce hodně nový SW instalovat odjinud. Já měl problém s libreoffice v devuanu.
Tak jsem to zkoušel přes flatpaky ale i ty byly v devuanu tak zastaralé že to házelo kvůli starým verzím chybové hlášky..
Ale myslím že v backports už není tak zkostnatělá verze.. Ale spíš je asi lepší pro každý SW házet repa. - to se pak zas ale často něco posere (repo změní URL nebo zanikne, málo testování oproti jiným verzím z rep) Otázka je pak jeslti není lepší přejít na něco co jsou jen flatpaky. Otázka je ale jak s výkonem.
Silverblue co jsem zkoušel tak byly chyby v Gnome 3 shell a tohle GUI nesnáším :D
A nevím jeslti jsou njěaké flatpakonly distra s LXDE..
Třeba clearlinux jsem zkoušel a v GUI se sekala tak myš že se mi nepovedlo nainstalvat jiné DE. A to jsem zkoušel proto že jsme si myslel že to bude rychlejší (úsporný procík od intelu novjejší ale výkon alá C2D).Snapy neřeším - pomalu se dpouští a canonikl s tím dělal prasárny...
Jakože to instaluji často seniorům a nerad bych aby to při upgadech se ptalo na to jaký zvolit konfigurák.. Ale zase mi nedává smysl používat na desktopu zastaralý SW..
Celkem je to fajn na ubuntu TLS. 10 let podpora a když se naklikají správná repa tak ten SW není v update tak hrozně fousatý (ale ideální to také není)..
Těch roling updates se bojím. Teď se mi rozesrala i fedora na jednom NTB a kvůli tomu nejdou updaty ani upgrade na novou verzi.. -
Celkem je to fajn na ubuntu TLS. 10 let podpora a když se naklikají správná repa tak ten SW není v update tak hrozně fousatý (ale ideální to také není)..
Nejsem úplně odborník na podporu Ubuntu, takže mě když tak opravte, ale jestli se nemýlím, tak ta podpora nad 5 let je k dispozici pouze platícím zákazníkům a týká se primárně jen serverových balíčků, takže seniorům na desktopu, kteří pravděpodobně platící zákazníci nebudou, je to celkem na nic.
-
Také nejsem odborník ale i pokud by to nebylo pro všechny zadarmo tak je to minimálně pro 3 PC bezplatně po registraci pro kohokoliv. Stejně tak myslím že update kernelu za běhu jsou bezplatné po registraci..
https://m.zive.cz/ubuntu-prodluzuje-podporu-na-10-let-i-u-starsich-linuxovych-distribuci-typu-lts/a-2124299. 12. 2021, 19:39 editováno autorem komentáře
-
Myslím, že ne. Požadavky na LTS jsou takový evergreen, které se pravidelně objevují, ale nemyslím si, že to v komunitě někdo reálně zvažuje. Každý, kdo do distribuce někdy přispíval, ví, jak je těžké nabídnout opravdu reálnou dlouhodobou podporu. IMHO je to v komunitní podobě velmi obtížně proveditelné a Debian je toho důkazem.
Na desktopu nechtějí lidi starý software, většina ho chce mít aktuální, jen se bojí těch změn a toho, že by se něco mohlo rozbít. Proto jsme se rozhodli investovat čas spíš do ladění a testování aktualizací a upgradů než do LTS. Je to taky těžký úkol, ale výsledek je minimálně pro desktop lepší.
Jinak Amazon nebude dlouhodobě podporovat všechny balíčky z Fedory, ale pouze podmnožinu těch nejdůležitějších komponent a tipuju, že nebudou opravovat všechny, ale jen kritické CVE jako Canonical u EMS, protože LTS je fakt těžká věc. ;)
-
Ale houby. Debian se sice tak často nepoužívá na desktopech, ale distribuce založené na Debianu ano. Pokud nechceme, aby Cannonical protlačil polo-proprietární řešení jako Snap, tak by bylo super, aby Debian pokryl svou činností maximální počet distribucí a nabídl jim co nejlepší balíčky.
9. 12. 2021, 21:11 editováno autorem komentáře
-
Ja používam DEBIAN 11, v minulosti bol FireFox updatovaný oveľa častejšie. Nezdalo sa mi to a šiel som navštíviť stránku: https://tracker.debian.org/pkg/firefox-esr
Skoro ma trafil šľak, lebo tam visí dosť chýb v sekcii "Action needed".Našiel som tento apparmor profile
https://github.com/nibags/apparmor-profiles/blob/master/apparmor.d/usr.bin.firefoxUpravil som profil podľa hlášok parsera a spustil ho. Teraz ešte špekulujem s Firejail/Firetools.
Vo windowse(ešte stále mám Vistu 32bit:-!!!) mám Firefox 52.9 + Kaspersky Free, ktorý sa ešte stále updatuje!! 15% stránok mi vo firefoxe už nejde.
Mám aj Win10 a Win7 na iných počítačoch, ktoré však využívam minimálne.
Debian je super desktopová distribúcia pre super šikovných ľudí - nie je to určené pre beginnerov.Ja sa rád šťúram v Debiane a dosť sa pritom naučím. Podobne, ako keď som mal viac času a na Rpi s 512MB RAM mi bežal Arch bez Desktopu. Ten Arch som neupdatoval asi 6 mesiacov, no a po 6-stich mesiacoch sa už updatovať nedal - nejaká chyba s GPG podpismi balíčkov. Nemal som to čas riešiť. Potreboval som vyladiť Debian + OpenJDK k dokonalosti pre moje potreby.
