Vlákno názorů k článku
Neutěšený stav prohlížečů v Debianu
od Uncaught ReferenceError: - si trochu rýpnu, vývojové tempo Debianu neodpovídá skoro...
-
si trochu rýpnu, vývojové tempo Debianu neodpovídá skoro žádnému balíčku :).
Je to problém a přesně důvod proč jsem z Debianu odešel. Znám několik maintainerů a vím kolik dělají práce a jak se o svoje balíčky starají, ale jako celek je Debian plný neaktualizovaných a nebezpečných balíčků, je to dlouhodobý problém.
-
Ono dost záleží na použití.
Na serveru je Debian STABLE skvělý - má rozumně dlouhou podporu, vychytaný upgrade na novější stable a balíčky dostávají bezpečnostní aktualizace za zachování kompatibility. Na desktopu je to ale na houby. Starý prohlížeč je v současnosti velmi silný argument. Ale ono i desktopové prostředí za ty dva roky umí pěkně zastarat.
Osobně proto používám na desktopu UNSTABLE. To unstable neznamená, že padá, není stabilní a tak, ale že se mění verze balíků, takže může dojít ke změně třeba konfiguračních souborů. Ale jako rolling distro pro desktop mi to nevadí, funguje to dobře a balíky mám aktuální. Co nevím, tak jaké jsou aktuální verze prohlížečů, protože mne to asi netrápí. Mám nainstalovaný Firefox a Vivaldi (vivaldi je z externího repo) a vím, že FF můžu mít ve variantě "latest" a ESR. V unstable je k dispozici 95 a 91, v testing zatím 78 stejně jako ve stable. Takže alespoň zde mi to přijde OK.
Já bych tedy nebyl tak kritický k Debianu. Ano, obsahuje neaktualizované balíky, ale často to jsou aplikace, které se už prostě nevyvíjejí a není za ně náhrada. Takže díky alespoň za neudržovanou verzi (poslední dostupnou).
-
ano, na server, ale pak člověk narazí, že v bullseye v stable repository není u nodejs balíčku ještě opravený CVE-2021-22960 ani po 9 měsících od zveřejnění, na server se pak hodí třeba varnish, opět neopravený CVE-2021-36740 pro http/2.
Problém za mě je, že to je občas minové pole a nikdy nevím jaké balíčky vlastně mohou použít a kdy jaké budou opraveny, takže sice člověk používá debian stable, ale všechny aplikace běží z dockeru. Nám na debianu OWASPy křičí pernamentně.
Je to škoda, za Debianem je spousta práce, spousta dobrovolníků, ale situace, kdy opakovaně trvá příliš dlouho oprava balíčků v stable kanálech je její použití na serverech trochu problematické, člověk musí pořád něco hotfixovat, pořád vymýšlet nějaký workaround na zalepení zranitelností.
-
Jakub Valenta (neregistrovaný)
Zrovna node je v debianu špatný obecně. I v unstable je pořád verze 12, které končí podpora v dubnu. Node ale poskytuje debianí repozitáře, kde je všechno v pořádku. Tipnul bych si, že kdo používá node, tak pravděpodobně běží v kubernetu a jako base má alpine. Takže je minimální tlak na jeho údržbu v debianu. Skoro by mi přišlo lepší, kdyby to úplně odstranili.
10. 12. 2021, 07:58 editováno autorem komentáře
-
alpine odstraňuje balíčky, které se nějakou dobu neaktualizovali, možná to je cesta jak to mít čištější. Nevidím výhodu v tom mít sice balíček, ale starý a neaktualizovaný.
Neřekl bych, že kubernetes je tak rozšířený, dělá se kolem toho hype, ale reálně ho buď potkávám buď v cloudu, tam mě debian nezajímá nebo u větších společností. Náklady na jeho správu jsou astronomické, až zbytečně.
K čemu mi je teda debian, když všechno potřebný si stejně instaluji z externích zdrojů? Pak je pro mě lepší nějaká tenká distribuce, clearlinux, busybox. Pokud ho mám jako pracovní stanici, zase mě ten jeho repositář omezuje. Zápasení s pinováním, prioritou a jinými apt nástroji je těžké i pro ostřílené linuxáře.
-
Fedora to dělá taky, ač asi ne tak striktně. Dřív jsem kvitoval co největší počet balíčků v repozitářích. Teď, když to vidím i z druhé strany, už ten názor nesdílím. Distribuce by IMHO měla dělat méně a lépe než naopak. Pak to dopadá tak, že distribuční repozitáře jsou bezpečnostní minové pole. Ti, co nemají moc přehled, pak instalují z repozitářů, protože to je o jednom příkazu a často ani netuší, že používají starou, nezáplatovanou verzi a v horším případě ještě s bezpečnostními dírami, a ti, co mají přehled, musí zase zápasit s hromadami externích zdrojů.
-
Mně přijde, že to tempo je dostatečné. Nevyžaduji, aby po vydání nové verze software byl druhý den přidán do Debianu :) Spíš mne štvou neaktualizovaný software, např. vynikající náhražka matlabu je FreeMath, ale díky tomu, že je na gtk2, tak už z Debianu vypadla. Mám tedy Windows verzi přes Wine, ale není to ono. Občas to blbne.
S prohlížečem nemám problém, i kdyby byl funkčností trochu pozadu, spíš mi vadí to hloupé číslování. 95 verze? Zlaté číslování major.minor.
-
Celý ten problém spočívá právě v tom, že nelze oddělit funkčnost a bezpečnostní opravy. U menších balíčků se to běžně dělá: držíte roky stejnou verzi, jen v ní opravujete bezpečnostní chyby. Protože se verze nemění, jmenuje se to Debian stable.
U prohlížečů je tenhle přístup velký problém, protože změn je hodně a upstream žene dopředu verze, ve kterých se míchají bezpečnostní opravy a nové vlastnosti. Protože to je obrovské a rychlé, nezvládají to distributoři řešit (backportovat opravy zpět do starých verzí) a musejí chtě nechtě měnit verze prohlížečů i ve stabilních repozitářích.
-
Chromium trpí na stupídnu chybu https://bugs.chromium.org/p/chromium/issues/detail?id=1106691
Broken beyond repair. By designⓇ
9. 12. 2021, 16:31 editováno autorem komentáře
-
To ano, ale zrovna u toho Firefoxu je to jen díky tomu, že nový ESR neběhá na MESA ve stabilní verzi, jinak by tam už asi byl. Měli by tam prostě backportovat i tu MESU a byl by klid, stejně to dřív nebo později udělají (určitě do 11.1), nebudou přece pořád spravovat verzi 78.
Přece jen to stabilní neznamená ani tak stabilní programy jako stabilní závislosti jednotlivých balíčků (určitě to bude někdo rozporovat a bude mít pravdu, ale já to vnímám spíš takto). A zrovna u mne ta sid kombinace linux 5.15.5+mesa 21+firefox 95 funguje mnohem lépe než to co je ve stable. Ale ani to nechodí úplně na 100%, hlavně kvůli problémům s grafikou. Občas se to neprobere, občas blbne bloutooth, nefungují pořádně sensory (i když je to už aspoň najde). Prostě se mi potvrzuje, co vždy říkám - linux chodí dobře na min. 2 roky starém železe, než se to vše odladí.
-
Filip JirsákStříbrný podporovatelPodle mne je to spíš tak, že prohlížeče mezi prvními přiznaly, že je nereálné rozlišovat bezpečnostní opravy a jiné změny. Za prvé bezpečnost není ano/ne, je to škála – některé opravy jsou hlavně bezpečnostní, ale mohou být i takové úpravy, které jsou sice primárně zaměřené na něco jiného, ale mohou mít i bezpečností dopad.
Druhá věc je, že když se udělá backport jedné opravy, vzniká tím úplně nová verze, která by měla mít stejnou péči, jako normální upstream verze – a na to nikdo nemá prostředky.
Dělat jenom bezpečnostní opravy má smysl u nějakého softwaru pro řízení letadel nebo zabezpečovacího zařízení, kde se ta verze s opravou testuje opravdu stejně, jako nová verze. Ale těch změn se tam dělá minimum.
Backportování oprav je podle mne překonaný koncept a je lepší soustředit se na to, jak předcházet chybám při provozování aktuálních verzí, než se pořád snažit udržovat staré verze a předstírat, že jsou bezpečnější.
-
Vždyť jsou to jen inkrementující se čísla. A je jedno, jestli mám verzi 3.11.420 nebo 8427. Zvláště pokud je to aplikace, která má rolling updates.
Major/minor verzování má smysl tam, kde major verzí chci zajistit kompatibilitu - aplikace verze 4.0 má kompatibilní chování s verzí 4.9999, ale už ne s 3.99999999999... nebo 5.0. Zároveň to znamená, že ale vývojář udržuje 3 řady: 3.X, 4.Y, a 5.Z.
To ale není případ prohlížečů, které mají systém nejnovější verze vyhrává. Na druhou stranu i ten FF používá u ESR major.minor. Holt je major číslo trochu větší než očekáváš: 91, 78...
