Polskie Forum Użytkowników Debiana

Miałem na myśli raczej zgłośić te poprawki Mozilli do opakietowania, albo faktycznie błąd w iceweaselu. Jest taki mechanizm w debianowym systemie do sugerowania pakietów, sam kiedyś z tego korzystałem, o, tutaj . Nie wiem czy do poprawek bezpieczeństwa jest coś bardziej adekwatnego, ale ja próbowałbym w ten sposób.
amoureux, to że Ty masz bezpieczeństwo gdzieś nie znaczy że masz się nabijać z kogoś komu na tym zależy.

lis6502 pisze:amoureux, to że Ty masz bezpieczeństwo gdzieś nie znaczy że masz się nabijać z kogoś komu na tym zależy.

Póki co Linux to nie Windows i aż tak bardzo to faktycznie bezpieczeństwem się nie przejmuję.

Ale jeśli koledze aż tak na tym bezpieczeństwie zależy to chyba nie pozostaje (na razie) nic innego jak zainstalować nowszą wersje Iceweasel z repozytoriów Testing/Sid, co nie jest zbytnio kłopotliwe.

amoureux pisze:W repozytoriach Testing jest dostepna wersja 3.0.7-1

Masz w moim pierwszym poście napisane, które błędy bezpieczeństwa poprawia IW 3.0.7-1. Praktycznie jest to odpowiednik FF 3.0.6, albowiem żadne luki krytyczne i o najwyższym niebezpieczeństwie nie zostały usunięte.
Zanim coś polecisz, szczególnie gdy to wytłuszczasz - przeczytaj u źrodeł, które w poście tym są podane.

lis6502 pisze:Miałem na myśli raczej zgłośić te poprawki Mozilli do opakietowania

Kiedy one zostały... opakietowane - jeśli rozumiem co masz na myśli
Mi się jednak wydaje, że problem leży mimo wszystko w innym miejscu. Rozumiem, że opiekunowie IW są osobami, które - pomijając kwestie nakładu pracy, wolnego czasu itd - czytają źródła, z których biorą swe programy do dalszej obróbki. System zgłaszania błędów w Mozilli, ich akceptowania, nadawania im odpowiednich priorytetów jest jasny i klarowny. Sporo informacji również o tym, jakiego rodzaju to błędy. Nie znam się na tym, wierzę w tej materii osobom, które z bezpieczeństwem programów komputerowych są obeznane i skoro twierdzą oni, podobnie jak i Mozilla, która akurat w przypadku usunięcia 2 ostatnich błędów FF zrobiła to bardzo szybko, że były to w istocie krytyczne błędy. Rozwiązania ich zostały zaimplementowane w kodzie FF. Kod, patche są dostępne.
Mam zatem pytanie - dlaczego opiekunowie IW lekceważą te błędy, nadto - samą istotą tego programu ("wolnościowa wersja FF"), jak i numeracją sugerują dla "normalnego" użytkownika, który przecież nie siedzi w changelogach i nie porównuje ich, że wersja IW o numerze X jest porównywalna z wersją FF o tym samym numerze. Stosowana praktyka jest zwykłym wprowadzaniem użytkowników Debiana w błąd. Wydana dnia 13.11.2006 r. wersja IW mogła mieć numer 1, a późniejsze mogły się do niej odnosić jak chciały i nie byłoby problemu. Mając teraz IW w wersji przypuśćmy 2.x.y miałbym taką wersję, a jej oznaczenie nie sugerowałoby innego produktu. Nic bym wówczas nie miał do polityki Debiana (której, akurat w tym przypadku, nie rozumiem).

amoureux pisze:Ale jeśli koledze az tak na tym bezpieczenstwie zalezy to chyba nie pozostaje (narazie) nic innego jak zainstalować nowszą wersje Iceweasel z repozytoriów Testing/Sid, co nie jest zbytnio kłopotliwe

Czy możesz czytać źródła zanim udzielisz swoich porad? ¯adna wersja IW, z żadnego repozytorium, nie ma załatanych tych błędów (mówię wyłącznie o priotytetach "high" i "critical") co obecna wersja FF. Jeśli komuś rzeczywiście zależy na wersji tej przeglądarki z usuniętymi błędami, to jedynym rozwiązaniem jest instalacja FF z Mozilli (być może SwiftFoksa bądź SwiftWeasela, ale wątpię, a nie sprawdzałem).

Póki co Linux to nie windows i aż tak bardzo to faktycznie bezpieczeństwem sie nie przejmuje

Po prostu zabiłeś mnie tym stwierdzeniem :mrgreen: Myślisz że jak nie masz Windowsa to śmiganie po przysłowiowych pornosach jest bezpieczne? Jasne że taki pliczek install-video-codec.exe wiele szkód nie narobi, ale nie chciałbyś pewnie żeby jakiś kod w Javie czy innym przenośnym języku wykradł Ci prywatne dane? Może to nie tak do końca na temat, ale w moim temacie pada kilka treściwych linków odnośnie tego, jak działa 'złośliwe oprogramowanie'.

pavbaranov pisze:

amoureux pisze:Ale jeśli koledze aż tak na tym bezpieczeństwie zalezy to chyba nie pozostaje (na razie) nic innego jak zainstalować nowszą wersje Iceweasel z repozytoriów Testing/Sid, co nie jest zbytnio kłopotliwe

Czy możesz czytać źródła zanim udzielisz swoich porad? ¯adna wersja IW, z żadnego repozytorium, nie ma załatanych tych błędów (mówię wyłącznie o priorytetach "high" i "critical") co obecna wersja FF. Jeśli komuś rzeczywiście zależy na wersji tej przeglądarki z usuniętymi błędami, to jedynym rozwiązaniem jest instalacja FF z Mozilli (być może SwiftFoksa bądź SwiftWeasela, ale wątpię, a nie sprawdzałem).

Być może i mój malutki błąd bo nie czytałem "źródła"? I co z tego? Prędzej czy później i tak wyjdzie wersja, w której będzie TO poprawione (jeśli TO są takie tragiczne błędy).

Więc niespecjalnie widzę sens tej całej dyskusji, takie gadanie i tak żadnych poprawek nie przyniesie, one w końcu będą jeśli są konieczne, a czy to prędzej czy później... Komputer nie spłonie do tego czasu (pomimo moich wcześniejszych żartów).

lis6502 pisze:

Póki co Linux to nie Windows i aż tak bardzo to faktycznie bezpieczeństwem się nie przejmuje

Po prostu zabiłeś mnie tym stwierdzeniem :mrgreen: Myślisz że jak nie masz Windowsa to śmiganie po przysłowiowych pornosach jest bezpieczne? Jasne że taki pliczek install-video-codec.exe wiele szkód nie narobi, ale nie chciałbyś pewnie żeby jakiś kod w Javie czy innym przenośnym języku wykradł Ci prywatne dane? Może to nie tak do końca na temat, ale w moim temacie pada kilka treściwych linków odnośnie tego, jak działa 'złośliwe oprogramowanie'.

A co, Ty śmigasz po pornosach? Masz 21 lat to może czas na to żebyś się rozprawiczył?

To ja nawet nie znając się na komputerach wiem, że w Linuksie nie ma takiego zagrożenia jak w Windowsie, i to nawet dziecko wie, więc zabijasz mnie swoją gadką.

Nagle wyrasta tutaj jakaś głupia gadka, na którą ja tracę czas, a do przedszkola jadę po dzieciaka. Więc pa.

To ja nawet nie znajac sie na komputerach wiem że w Linuksie nie ma takiego zagrożenia jak w Windowsie

Racja, nie znasz się na komputerach. To że nie ma takiego zagrożenia, nie oznacza że nie ma go w ogóle.

A co, Ty śmigasz po pornosach

Na czytaniu widocznie też się nie znasz. Szerokiej drogi.

To jeszcze tak na wyjściu

Zagrożenie zawsze jest, było i będzie (nawet ci sufit moze spasc na leb), tym bardziej jesli ktos śmiga tak jak piszesz po niewiadomo jakich stronach, dla kogos takiego to serio kazda aktualizacja moze byc na wage złota ... W mojej ocenie (i wielu wielu innych) nie zmienia to tego że Linux jest bezpiecznym systemem, bezpieczniejszym (jak narazie) od windowsa

Zagrożenie zawsze jest, było i będzie (nawet ci sufit moze spasc na leb)

Zgodzę się jak najbardziej!

jesli ktos śmiga tak jak piszesz po niewiadomo jakich stronach

Gdyby zagrożenie kryło się tylko w takich podejrzanych zakątkach internetu to życie byłoby dużo piękniejsze. Niestety, w chwili gdy piszę te słowa, ktoś gdzieś szykuje pułapkę wykupując domenę (przykładowo) http://www.debian.linux.pl.org , kradnie oryginalny layout i montuje w kodzie strony jakieś paskudztwo, które teorytycznie może zaszkodzić każdemu systemowi (wspomniany wyżej javascript). Ja i Ty zorientujemy się że coś tu śmierdzi, ktoś kto nie spoktał się wcześniej z tą stroną narazi się na atak.

W mojej ocenie (i wielu wielu innych) nie zmienia to tego że Linuks jest bezpiecznym systemem, bezpieczniejszym (jak narazie) od windowsa

Z tym też się zgodzę, co nie czyni go systemem-twierdzą. Gdyby ataki 'przeglądarkowe' nie były skuteczne na Linuksie, to nie byłoby sensu łatać przeglądarek. Logiczne.

amoureux pisze:wiec niespecjalnie widze sens tej calej dyskusji,

Fakt, robisz z tego wątku flame'a i trollujesz.
Jeszcze raz - zanim wypowiesz się na jakiś temat spróbuj go zrozumieć.
Zobacz sobie choćby na: http://www.linux.pl/?id=news&show=5298 Tu jest po polsku. Na czym polegają luki naprawione w FF 3.0.7 i 8 odsyłam do stron Mozilli. Wówczas - być może - zrozumiesz w czym rzecz.
I jeśli nikt już nie będzie w stanie sensownego coś napisać w wyjaśnieniu pytania Krukowi, a dalej dyskusja będzie o niczym, to temat będzie trzeba zamknąć.