firefox

Stephan Hermann sh at sourcecode.de
Son Sep 25 10:10:23 CDT 2005
Vorherige Nachricht: firefox
Nächste Nachricht: firefox
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]
Am Sonntag, den 25.09.2005, 16:52 +0200 schrieb Thomas Janssen:
> Am Sonntag 25 September 2005 16:29 schrieb Stephan Hermann:
> > Am Sonntag, den 25.09.2005, 16:15 +0200 schrieb Thomas Janssen:
> > > Trotzdem gab es in den Backports ein Fireofx-Paket das Sicherheitslücken
> > > schloss, welche nicht durch die "offiziellen" Sicherheitsupdates bereit
> > > gestellt wurde. Oder sehe ich das falsch? Was mich zu meiner Frage zurück
> > > kommen lässt. Welchen Sinn hatte das Firefox-Paket aus den Backports
> > > sonst, wenn es nicht Sicherheitslöcher gestopft hat?
> >
> > Uhm...ein inoffizielles paket, aus inoffiziellen quellen, von
> > fragwuerdiger herkunft, loescht sicherheitsluecken?
> 
> War es ein neuerer Firefox? Ja. Was wurde bei denen in letzter Zeit gemacht? 
> Löcher stopfen. Ok, nicht nur.

Du meinst beim Offiziellen Firefox? Hast Recht, aber weisst Du was in
dem Packet drin war? Nein. Ich auch nicht. Von daher.


> Fragwürdige Herkunft. Dazu müsste es mal für alle geklärt sein, das es 
> inoffizielle und offizielle Backports gibt. Und auch das die inoffiziellen 
> Backports böse sind. Wo ist sowas denn zum Beispiel klar gestellt?

Ist es seit Juli 2005. Und das Problem bestand schon vor diesem
Zeitpunkt, und genau deswegen hat das TB und das CC dem Vorschlag
zugestimmt, dass die inoffziellen Backports runtergefahren werden sollen
und dafuer das Team hinter den diesen, das offizielle Backports team
stellen. 
Fuer mich war es klar, dass dadurch das rumgewuschel mit Offiziellen
Packeten und nicht offiziellen Packeten gegessen sein wuerde, ist es
aber leider nicht. Und jetzt tritt genau das wieder auf, was vorher auch
schon gewesen ist.


> 
> > Na wenn ich da mal kein Paradoxon raushoere. aber bitte.
> > Wenn du 100%e sicherheit haben willst, nimmst du dir die sourcen von
> > mozilla und kompilierst selbst. Ansonsten koennte es eher zu wuenschen
> > sein, evtl. via IRC bei den MOTUs oder bei -devel vorbeizuschauen, und
> > evtl. nachfragen ob man helfen koennte bei diesen Paketen.
> 
> Schön das diese Diskussion endlich auch vernünftige Wege hier aufzeigt. Wo 
> findet man denn solche Hinweise auf offiziellen Ubuntu-Seiten? Ich zumindest 
> habe es bisher nicht gelesen.

Oh...wiki.ubuntu.com ist voll davon, wie man bei Ubuntu mitarbeiten
kann.

z.B. wiki.ubuntu.com/MOTU
oder 
http://www.ubuntulinux.org/community/participate
http://www.ubuntulinux.org/community/processes/newmember

Das sind nur zwei der links, die sofort auf der wiki hauptseite
auftauchen.

> 
> > Einsetzen von Software aus fragwuerdiger Herkunft (was da heisst, nicht
> > signiert aus dem ubuntu keyring) ist fast genauso gut, als waerst du bei
> > den sicherheitsluecken geblieben.
> 
> Das die Mirrormax-Repo`s fragwürdig sind habe ich bis jetzt auch noch nicht 
> lesen können. Aber vielleicht kannst Du mir ja eine Seite nennen auf der so 
> etwas vermerkt ist. Ich flame übrigens nicht, ich ärgere mich nur, das man so 
> etwas erst über ein nicht ganz so perfekt erstelltes Paket erfahren darf.

Nun, wuerdest Du Windows Updates ueber Windows Update Service auch von
jemanden anderes runterladen als Microsoft, der sagt: "Hey, ich hab hier
Updates, die sind wie die von MS?"

Ueberleg mal, nur dort wo Ubuntu draufsteht ist auch Ubuntu drin. Also
alles das was nicht von archive.ubuntu.com kommt, ist definitiv nicht
offiziell.

> > > Und mit ein Grund ist wohl der, das einige
> > > Menschen hier, dringend benötigte Software nur aus den Backports bekommt.
> >
> > Was ist dringend benötigte Software?
> 
> Für mich wäre es LMMS. Aber ich wollte eigentlich Versionen schreiben. 
> Vertippelt, sorry.

Wenn die Software so noetig ist, dann waere der richtige Schritt: Selber
bauen, selber paketieren. Oder jemanden vom MOTU team fragen, ob er
helfen koennte.

> > Dann warte mal auf Ende Hoary, denn das dicke Ende kommt dann erst, wenn
> > sed -e 's/hoary/breezy/' auf sources.list gemacht wird. Und dann erst
> > wirst du sehen wo die probleme liegen.
> 
> Ich lasse mich mal überraschen.

Ich auch...aber davor mach ich nen unsubscribe auf alle -user und
support MLs

> 
> > Aber dennoch, das Problem ist nicht nur, dass da Pakete rauskommen, die
> > nicht gut sind, sondern das der Support nicht dorthin geht, wo er
> > hingehoert, zum Verursacher.
> 
> Da gebe ich Dir auch Recht.

Danke :)

\sh
Vorherige Nachricht: firefox
Nächste Nachricht: firefox
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]