Názory k článku
Ubuntu 24.04 LTS bude mít podporu 12 let, prodlouží se i podpora starších vydání

Ano, zrovna prohlížeč je to, co se musí měnit i na tom starém počítači. Nikdo si dnes nemůže dovolit držet stejnou verzi a jen backportovat opravy. Na to by byl potřeba tým o desítkách lidí. Kritických a důležitých CVE je ve Firefoxu až 100 ročně a je to software, který má přes 30 milionů řádků kódu. Pokud chcete mít v distribuci záplatovaný prohlížeč, musíte ho holt mít v nové verzi.
ESR to řeší jen pramálo. To vychází jednou za 12 měsíců a podporu má 15 měsíců. To znamená, že za životnost systému s 12letou podporou ho musíte rebasovat 11x, 11x se uživatelům změní pod rukama.

Ten desktop může být nenáročný, ale po 10 letech se to začne sypat i tam. Po pěti letech končí podpora nového hardwaru, pak tam člověk potřebuje dát něco novějšího a nemůže, to samé periferie. Důchodce může být zvyklý na Chrome, ale Google mu zařízne podporu, protože bumpne minimální verzi glibc atd.

Zminoval jsem Debian - tam je ten firefoxi ESR. I v busteru - puvodne z roku 2019 je ESR 115.6 z prosince 2023. Svym zpusobem se na to backportovani zaplat selektivne vykaslali - tam, kde to uplne nedava smysl. Ono taky samotne cislovani verzi muze byt zavadejici - zrovna u toho Firefoxu i vcelku je. Takze skok z jedne major verze na druhou v praxi zas takovy prusvih neni. A zazivame to i v kernelu (kdy se nam to z 5.x na 6.x preklopilo proste jen proto, ze se chtelo).

Ano, trosku se to uzivateli pod rukama mozna obcsa zmeni. Ale porad je to mensi zlo, nez kdyz mu pod rukama podobne vybouchne cely desktop manager. A neni to specificke jen pro Linux - podobne lidi nadavaji i na prekopavani UI ve widlich.

Vykašlali, protože museli. Jak říkám, dnes není v silách žádné distribuce backportovat opravy do tak velkého a komplexního softwaru, jakým je webový prohlížeč. My máme na Firefox několik placených vývojářů a stejně to je úplně mimo naše možnosti, Debian nemá ani to.

Vsak to v realu nikdo neocekava. Svet kolem nas neni binarni. Aneb distribuce nemusi byt rigidne svazana s konkretni prehistorickou verzi software za kazdou cenu, i kdyz to z praktickeho pohledu vlastne nedava zadny nedava smysl. Ale take to neimplikuje, ze se musi zbesile menit vsecko kolem - i kdyz pro to neni moc duvod. Psal jsem to uz vyse a vlastne sam uspokojivou odpoved neposkytujete. Zasekl jste se u toho prohlizece ;-) Aneb ono se proste pro ten long-term support da najit rozumny kompromis... jen to chce premyslet jinak nez systemem "vsecko nebo nic".

Možná kdyby si tam nenapsal `potrebujete z 99% jen ten prohlizec, co rozdycha "moderni" weby`, tak by se na něm nikdo nezasekával :-)

Budete se asi divit, ale jsou lide, kteri zadne "opravy" ani opravy na sw nepotrebuji. Co pred 10 lety meli jim klidne jede k jejich spokojenosti doted a sve duchodcovske sily muzou venovat podstatnejsim vecem, nez co 3 mesice novemu gui prohlizece.

Je to s podivem, ale myslim si, ze jeste furt celkem dobre funguje na prohlizeni webu posledni ff pro win xp ;-). Samo uz je to extrem. Ale cim dele vydrzi veci stejne tim lepe. Treba u thunderbirdu je kazda dalsi verze jen horsi, podstatne veci se neresi a imap a smtp proti dovecotu a postfixu zvlada dobre klidne 10 a vice let stara verze. Tam je duvod na zmenu proste nula.

Samozrejme vseho s mirou a kazdy pripad uziti si zada sve.

No jo, jenže v případě běžných uživatelů na internetu bych se pak bál malware, atd.

Tady muze byt naopak novy software rizikem. Honba za rychlou implementaci novych funkcionalit, ktere se do produkce pousti casto ve stavu, kdy to ani neni poradne otestovane (a tedy zabugovane) samo o sobe otevira ty bezpecnostni diry, ktere malware nasledne zneuziva. Ale holt takova ta bezna rutina - tedy vylepsovani existujiho kodu programatory zas tak moc netahne.

Pokud někdo nepotřebuje žádné opravy a stačí mu nezáplatovaný Firefox pro XP, tak se vůbec nemusíme bavit o nějaké potřebě podpory, ne? Když skončí distribuci podpora, neznamená to, že přestane fungovat. Takovou Fedoru Core 1 si můžete nainstalovat a instalovat balíčky z repozitářů i po 20 letech. Bude to "fungovat", jen to nebude mít opravy včetně těch bezpečnostních za posledních 19 let.

Mimochodem některé služby vás dnes s nezáplatovaným prohlížečem odmítnou, internetová bankovnictví to dělají naprosto spolehlivě. Máti si jednou neaktualizovala Firefox 3 měsíce a už ji Komerčka nepustila do Mojíbanky s tím, že si má aktualizovat na podporovanou verzi prohlížeče.

14. 1. 2024, 09:39 editováno autorem komentáře

Kdyby mela moje mati internet banking tak nevim jestli bych vubec zaspal.
Tohle je nekdy horsi jak dat detem sirky.

13 let staré čtyřjádro od AMD + 10 let stará Nvidia GTX 750Ti a zatím žádný problém s končící podporou, ta GPU je stále podporována nejnovějšími uzavřenými ovladači od Nvidie, takže není problém mít nejnovější linuxová distra a FreeBSD/GhostBSD, akorát jsem nezkoušel jestli už na tom funguje Wayland. A výkonem je ta 750Ti cca na úrovni APU AMD 5600G, takže brzdou na náročnější věci je hlavně ten CPU.

Pro Dannyho babičku to problém je, protože tu převedl na Linux v dobách Dapper Drake a od té doby neaktualizovala.

Sklamu te, experte na me rodinne pomery :-) Ja mam u rodicu Windows. A od lonskych vanoc jedou na jedenactkach. Linux tam je akorat na Omnii.

Nechává mě to úplně klidným, ale vzhledem k téhle diskusi mě zaráží, že tvoji rodiče jedou na systému z konce roku 2021, kde ten desktop manager zrovna vybouchl.

Jestli tohle nepochopeni nebude mit puvod v tom, ze pouzite argumenty nutne nemusi kopirovat "vlastni" spravovane prostredi ;-) Vzhledem k tomu, ze prvni x86, se kterym mela nase rodina cest bylo uz "slusovicke" TNS PC-XT si troufam rict, ze moji rodice rozdychali v case uz spoustu zmen ;-) Asi vas prekvapi, ze T602 nikdo nepostrada.

To je hezky řečeno. Myslím, že si živoucí důkaz, že systém jde v pohodě aktualizovat komukoli.

Prace na koncove technicke podpore s koncovymi uzivateli by vas z tohoto pohledu na vec velmi rychle vylecila :-)

Jsou a nejsou. Jak jsem psal, až jim přestane fungovat Chrome, protože systém nesplňuje minimální požadavky na závislosti, nebo si nezavolají s vnoučaty přes Skype z podobného důvodu, nebo se nepřipojí k nějaké službě, protože jim chybí nový šifrovací algoritmus, tak jim to šumafuk nebude.
Nás podpora starých systémů živí, takže vidím, co uživatele na tak starých systémech trápí. Nikdo, ani ti nejkonzervativnější nechce na tak starém systému na desktopu dobrovolně zůstávat.

To kolem krypta se zas tak rychle nemeni. A casto prave i kvuli te serverove casti, o ktere i sam pisete vyse. Ve finale se kvuli tomu narazi i z druhe strany - kdy desktopove distro uz ty starsi algoritmy nepodporuje - ale serverova aplikace bezi na necem, kam to novejsi crypto rozumne proste nenacpete.

Zapomněl si aktualizovat nějaké servery a jedeš na děravém OpenSSH, na který se nedá dostat s bezpečným OpenSSH? :-)

Jak se aktualizuje ssh na UPSkach APC? Jo ja vim, mam ta zcela funkcni zarizeni vyhodit, a koupit si nova ... se kteryma budu presne tam ... za rok.

No zrovna vcera jsem byl naopak trosicku smutny z toho, ze posledni "stabilni" TurrisOS (6.4.4) stale neobsahuje zaplaty na Terrapin (tedy doimplementovane kex-strict-s-v00@openssh.com )­... :-) No v podstate to samy, co se stalo treba i u Centosu...

Chrome i Skype si nesou závislosti ve flatpaku. Navíc vše, co popisujete, je o několik řádů lepší, než když v Libre Office změní ikonky nástrojů třeba. Je vidět, že v této situaci nejste a tak neznáte tu bolest ;-)

Já věděl, že někdo vytáhne Flatpak. :) No, jen si zkuste, jak to funguje na 12 let starém systému. Flatpak je primárně stavěný, aby fungoval na libovolné moderní distribuci, ne aby fungoval na libovolně staré distribuci. Ono to do určitého momentu funguje, ale pak člověk bude narážet na to, že repo (Flathub) bude vyžadovat funkce, které v té prastaré verzi klienta nejsou, aplikace budou spoléhat na API z portálů, která ta prastará distribuce taky neumí...

Jinak bavíte se s někým, kdo spravuje počítače asi 10 BFU v rodině a mezi známými, z nichž nejstarší má 65 let, takže zkušenosti téhle kategorie celkem mám. ;-)

Je fakt, že Windows je v tomto ohledu mnohem lepší. Windows 7 něl podporu 12 let ale třeba chrome ukončil podporu teprve před rokem. Zpětná kompatibilita je také neuvěřitelná. Office 95 bezproblémově funguje i na Windows 11.

K comu je dobre ze Office 95 funguje i na Windows 11? Naozaj funguje? Nie som si isty, ci vsetky jeho funkcie funguju aj na Win11.
Ja by som skor povedal, ze Office 95 spustis na Win11.

Jak tam funguje O95 nevim, maji tam Libreoffice (aktualni)... :-) Ono ve finale zrovna Libreoffice ma k O95 bliz nez dnesni "moderni" original z Redmondu... a rozhodne to prostredi netrpi ujetou "potrebou" UI nejak zbesile menit.

Tak to bych s takovou jistotou netvrdil. Když výrobci telefonů s Androidem kašlali na aktualizace, Google ten softwarový stack upravil tak, aby jeho velká část šla aktualizovat nezávisle na základním systému. Takže i když máte samotný Android v již nepodporované verzi, hodně z důležitých částí softwaru v telefonu máte aktuální. U iPhonu je ta podpora podstatně víc binární. I webový engine je zadrátovaný do systému. Jak je ukončená podpora systému, jedete dál na nezáplatovaném WebKitu a tam ty bezpečnostní díry naskakují velmi rychle. Na nepodporovaném Androidu můžete mít klidně aktuální Firefox včetně vlastního aktuálního webového enginu a aspoň to brouzdání je relativně bezpečné.

14. 1. 2024, 19:26 editováno autorem komentáře

V EU už budeme mít moct vlastní web engine i na iOS. A ty Android telefony se týká jen těch s plnými Google Mobile Services (GMS). Nestačí komunitní microG.

Můžete mít firmu, která v rámci podpory opraví 1 věc ze 100 a pak firmu, která opraví 99 věcí ze 100, a tou vaší logikou můžete tvrdit, že jsou obě stejné a nemají si co vyčítat. Na tohle vám naskakovat nebudu, na takový typ diskuse tu máte jiné parťáky. ;-)

Nie je s tych 100 objavenych chyb skutocne zavaznych tak 20? Nema zmysel opravovat kazdu blbost co sa objavi, urcite riziko pri starom systeme je akceptovatelne.

Spousta chyb např vyžaduje fyzický přístup k zařízení nebo málo pravděpodobnou sérii podmínek. Taky jdou schovat, např když byl objeven Meltdown, tak první krok byl workaround ve webových prohlížečích*. Zbytek ani není potřeba, pokud člověk neinstaluje nové programy (nebo si hlídá odkud).

*) Horší přesnost timeru.

15. 1. 2024, 09:19 editováno autorem komentáře

To máte samozřejmě pravdu, ale já se tady bavím v úrovni těch závažných až kritických chyb. A Apple vám určitě do Lion 10.7 nedodává těch "20".

Teď jsem se schválně podíval víc na Apple Security Advisories a ty občasné opravy opravdu nejkritičtějších bezpečnostních chyb, které posílá do našeho záložního iPhonu 5S, který už je oficiálně po podpoře, jsou normálně uvedené v seznamu oprav. Apple nic pokoutně po záruce neposílá. Byla by to i blbost v tomhle nebýt transparentní. Po záruce už žádné opravy garantovat nemusí, ale když je vydá, tak je proti průmyslovým zvyklostem o nich neinformovat.

10.7 Lion je tam naposledy uvedený 29.9.2014. Nevím, co vám tam chodí za aktualizace, ale bezpečnostní opravy to velmi pravděpodobně nebudou. Nedivil bych se, kdyby to byly jen změny ve stylu stažení nových veřejných klíčů, aby to ten systém zcela neodstřihlo od serverů Applu.

Ale ono u RH opravdu neplati, ze by opravovala 99 veci ze 100. Ve skutecnosti fungujete stejne jako ti u Apple - zhodnotite rizika, dopady a na zaklade toho k problemu nejak pristoupite. To v principu spatne neni - fail je vase snaha hejtit Apple za neco, co sami take delate.

Číslo 99 jsem vybral záměrně, abych ukázal, že podle té vaší logiky by i téměř dokonalé opravování chyb si nemělo nic vyčítat s téměř nulovým opravovaným chyb, protože ani jeden neopravuje všechno. Je to demagogická relativizace, která je pod úroveň této diskuse.
Jak z té diskuse vyplynulo, Apple už v OS X 10.7 roky neopravuje žádné chyby, takže nějaké srovnání s opravováním chyb v RHELu 7 postrádá smysl. Ostatně byla by to opět demagogie, protože RHEL 7 je na rozdíl od OS X 10.7, jehož podpora oficiálně skončila před skoro 10 lety, stále podporovaný.