Forum Debian Users Gang

Mrożenie to jedno. Inna sprawa, że opiekun Iceweasela uznał, że nowe wydanie nie zasługuje na nic więcej niż Urgency: low. Czyli jest poddany dziesięciodniowemu cyklowi migracji, który w tym wypadku może być zbyt duży.

remi: w takich wypadkach najlepiej jest wejść na stronę pakietu (packages.debian.org), gdzie po prawej stronie znajduje się odnośnik „Informacje dla deweloperów (PTS)”. W tym wypadku kieruje on do http://packages.qa.debian.org/i/iceweasel.html, gdzie jest wszystko napisane.

Co do backportów, to nie mam pojęcia. Zresztą backporty to nie jest repo security i z tego co mi wiadomo, zespół ds. bezpieczeństwa Debiana backportami się w ogóle nie zajmuje.

Cześć, minio stronę, którą podałeś odwiedziłem już jakiś czas temu. Szczerze mówiąc, byłem lekko zmieszany widząc komunikat There are 44 open security issues, please fix them. Masz rację - Deweloperzy nie zajmują się backportami, w sensie aktualizacji bezpieczeństwa, ale pamiętam, że ostatnia aktualizacja Iceweasel pojawiła się naprawdę szybko w Squeeze-Backports. O ile w ogóle, możemy mówić tu o szybkości. Czyli z tego co pisze Arn wnioskuję, że stosowna aktualizacja do wersji 10.0.7-1 powinna być dostępna w ciągu 4. dni, prawda? Jeżeli tak się stanie, to ze względu na naprawdę dużą liczbę zgłoszonych CVS dot. tego wydania, będzie to w końcu poprawnie załatwione. Szkoda tylko, że według opiekuna Iceweasel w/w problemy zasłużyły tylko na status low, podczas, gdy kilka Dystrybucji zrobiło dokładnie odwrotnie, udostępniając aktualizację kilka dni temu. Ale to nie do mnie należy podejmowanie tego typu decyzji. Dziękuję za wyjaśnienie. Powoli zaczynałem się denerwować.

Jeszcze jedno: nawet już w dniu 30 sieprnia, FreeBSD uaktualniło Firefoxa do wersji 15.0,1 oraz 10.0.7,1. Tym bardziej dziwi mnie ta niefrasobliwość opiekuna pakietu Iceweasel. Tak naprawdę, na usta cisną mi się inne słowa, którymi mógłbym opisać ten doprawdy dziwny wybór; lekkomyślność, brak rozsądku, beztroska etc.? Przepraszam, że ciągle o tym, ale skoro na oficjalnej stronie Debiana pisze: Debian traktuje bezpieczeństwo bardzo poważnie, a w dodatku wszyscy dookoła udostępnili zaktualizowane wersje przeglądarek, to dla mnie jest to, po prostu niezrozumiałe, tym bardziej, że nie były to zwykłe zmiany wersji z, powiedzmy, zmianą w interfejsie, czy dodaniem jakiegoś nowego widżetu. Nie czepiam się, proszę tak tego nie traktować! Gdybym tylko miał na tyle umiejętności, żeby móc pomóc Projektowi...

"Aczkolwiek nie wiem po co takie kombinacje zamiast od razu dać np. high (...)"; Arn świetnie to ująłeś, naprawde genialnie.

Ostatnio edytowany przez remi (2012-09-03 12:45:42)

W porządku, może rozważę Twoją propozycję, ale jeśli w ogóle zdecyduję się na napisanie wiadomości do Opiekuna, to prawdopodobnie za kilka dni. Nie chcę zawracać mu głowy pytaniem typu; dlaczego tak zwlekacie z udostępnieniem aktualnej wersji, skoro wszyscy dookoła już dawno to zrobili?* To wydaje się bez sensu i trochę na wyrost. A czy mnie to dziwi? Wiesz, raczej mierzi, chociaż, to chyba nie zbyt odpowiednie słowo, ale nic na to nie poradzę. Tak naprawdę, to są dopiero moje prawdziwe początki z systemem Debian, i może po prostu nie rozumiem kilku rzeczy? A może wystarczy rozważyć korzystanie z gałęzi Sid? Może...

* Właściwie, odnosi się, to tylko do Squeeze'go i Wheezy'ego, ponieważ zarówno Sid jak i Experimental posiadają aktualne wersje.

Jacku nie, nie chcę najnowszego Firefoxa, którego nie ma w repo, ponieważ jestem zadowolony z działania Iceweasel 10 ESR. To wydanie, czy też ta wersja, jest doprawdy stabilna, responsywna etc. Wspomniałeś również o kompilacji swojego Firefoxa przy wykorzystaniu maksymalnie bezpiecznych flag. Jakiś czas temu, w jednym z tematów, podałem wynik - oczywiście wycinek - z kompilacji Iceweasel w związku z planowanym skompilowaniem jak największej ilości pakietów, przy pomocy hardening build flags via dpkg-buildflags. Brakuje, chyba jednak flagi PIE, jak sądzę. Wspomniałem także, że Iceweasel już się załapał na tą ciekawą i potrzebną akcję.

Okay, sprawa roztrząsania Firefox/Iceweasel, czasu ich aktualizacji, ich bezpieczeństwa itp. staje się nudne jak oddychanie. Poczekam cztery dni, kiedy wszystko powinno wrócić do normy. Taką mam przynajmniej nadzieję. A oto, wspomniana część logu z kompilacji pakietu Iceweasel 10 ESR;


CFLAGS="-fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security"
CXXFLAGS="-fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security"
checking whether the C++ compiler (g++ -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security ) works... yes
checking whether the C compiler (gcc -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security ) works... yes
CXX="g++" (...) "CPPFLAGS="-D_FORTIFY_SOURCE=2"

Ostatnio edytowany przez remi (2012-09-04 16:08:58)

Wszyscy odetchnęli z ulgą…

Ależ skąd. :D