Heute landete dieser Artikel von perun.net in meinem Feedreader: Warum man bei Mozilla Firefox auf den offiziellen Release warten sollte. Finale Firefox-Versionen liegen meist schon Tage vor der offiziellen Veröffentlichung auf den Mozilla-Servern bereit. Viele News-Seiten schreiben darüber. Wer zuerst kommt, mahlt auch halt zuerst, bzw. bekommt die meisten Klicks ab.

Dass man diese Versionen nicht installieren sollte liegt an der Tatsache, dass bis zur Veröffentlichung noch Sicherheitsaktualisierungen oder Bugfixes in den Browser eingepflegt werden können, was zwar nicht immer vorkommt, bei den vergangenen Versionen laut Sören Hentzschel ein paar Mal aufgetreten sein soll. Da sich die Versionsnummer allerdings trotz Veränderungen nicht ändert, bekommt der Nutzer auch kein Update für Fehlerkorrekturen bzw. gestopfte Sicherheitslöcher ausgeliefert. Er surft, falls er nicht manuell auf die offizielle Version aktualisiert, erstmal bis zum nächsten Release mit einem unsicheren Browser.

Anzeige


14 Kommentare

  1. Wäre es dann nicht von Seiten Mozillas angebracht, die Versionen nicht gleich auf öffentlich zugängliche Server zu stellen? Kann die Aufregung nicht ganz nachvollziehen.

  2. @Olaf,

    das ist keine Aufregung, sondern lediglich ein Hinweis an die Nutzer. Bei OpenSource ist es üblich dass diverse Versionen frei verfügbar auf dem Server liegen.

  3. Man könnte das Problem ja damit lösen, dass dem Firefox neben der sichtbaren Versionsnummer auch noch eine Build-Nummer gegeben wird. Damit wäre auch für den Fall, dass z.B. in Version 10.0 ein Sicherheitsupdate eingespielt wird, möglich, die Build-Nummer zu erhöhen, aber die sichtbare Version bei 10.0 zu lassen. Die Build-Nummer wäre dann für den Auto-Updater praktisch.

  4. Die vorab veröffentlichten Finals liegen nur auf den FTP-Servern und werden nicht verlinkt. Dabei macht es keinen Unterschied, ob sie in releases oder nightlies liegen. Der normale Anwender braucht nicht auf diese Server gehen („er hat nichts zu suchen“ würde nicht zwangsläufig stimmen). Für diese gibt es die offizielle Homepage, auf der erst sehr spät ein neuer Release hinzukommt.

    Wenn man deine Argumentation fortführt, dürfte Mozilla gar nichts mehr veröffentlichen. Und wenn, dann müssten alle Zugänge zu den Servern mit AES 256 verschlüsselt werden und die Passwörter mit doppelter ROT13-Verschlüsselung gesichert werden 🙂

  5. Das ist daher unnötig, weil es kein Problem gibt. Solange es auf mozilla.org keine neue Version zum Download gibt, gibt es keinen neuen Release, punkt. Auf der einen Seite heulen so viele Anwender herum, dass es alle sechs Wochen einen neuen Release gibt, auf der anderen Seite können sie keine zwei Tage warten, wie passt das zusammen? Es gibt eh ein Automatisches Update. Kein Firefox-Nutzer ist in der Notwendigkeit, sich Versionen händisch herunterladen zu müssen. Außer er hat bislang keinen Firefox installiert. Daher verstehe ich diese „Update-Geilheit“ nicht. Einfach abwarten und wenns ein Update gibt, wird Firefox aktualisiert.

  6. johnB: Es gibt eine Build-Nummer bzw. Build-ID, sie ist (derzeit) nur nicht ganz einfach zu finden, was aber möglicherweise geändert wird.

    Außerdem, wenn man automatische Updates eingestellt hat, bekommt man sogar ein Update von ev. früheren Final-Paketen zu den offiziellen. Trotzdem sollte man auf die offizielle Veröffentlichung warten. Wir bei Mozilla sind nicht dumm, es gibt Gründe, warum wir mit der Veröffentlichung warten, z.B. Evaluierung Stabilität und Sicherheit sowie Ergebnisse unserer internen Qualitätssicherung.
    Bei Firefox 11 (erscheint diese Woche) zum Beispiel wurde bei pwn2own am Freitag eine Sicherheitslücke in Firefox 10.0.2 entdeckt, über die wir erst gestern Details erfahren haben, und wir haben erste am Wochenende die wirkliche Ursache für ein Stabilitätsproblem mit alten Grafiktreibern gefunden, deren Lösungen wir noch austesten. Außerdem ist heute Microsoft-Patch-Tuesday und wir hatten schon mal Probleme mit der Auslieferung von Firefox-Updates an einem solche Tag, also ist eine Veröffentlichung unsererseits am Mittwoch oder Donnerstag auch aus dieser Sicht besser.

  7. Pingback: Firefox 11 verspätet sich möglicherweise - Sören Hentzschel

  8. Da frage ich mich, warum Version 11 schon in den Ubuntu Paketen von Mozilla ist
    siehe hier https://launchpad.net/~ubuntu-mozilla-security/+archive/ppa

    Wenn ich Firefox über die offiziellen Ubuntu-Quellen aktualisiere, dann muss ich Wochen auf das Update warten und wenn ich die Mozilla PPA benutze, hab ich die „inoffizielle“ Version schon vorher? Oder gibt es irgendwo auch eine Paketquelle, in der ich Firefox zum richtigen Zeitraum erhalte?

  9. Felix, die Pakete sind nicht „von Mozilla“, sondern von Chris Coulson. Und der hat wohl auch verfrüht diese Versionen aus dem (ja immer offenen) Quellcode gebaut. Ich hoffe, er liefert dann auch die korrigierte Version nach. Eine „offizielle“ Quelle von Linux-Paketen für Mozilla gibt es nicht, entweder man „installiert“ die .tar.bz2-Pakete von den Mozilla-Seiten händisch und lässt dort auch die Mozilla-eigenen Updates laufen, oder man verlässt sich auf die Updates, die die Distributionen liefern, bei denen kann es aber auch durchaus so wie hier passieren, dass sie mal ein Paket mit fehlenden Patches ausliefern (es geht hier hauptsächlich um die Stabilitätssache mit Grafiktreibern – und die könnte Linux ev. kaum betreffen – denn die Sicherheitslücke war schon in den Betas von Firefox 11 gelöst, aber das wurde erst heute Nacht klar).

  10. Es scheint nun wirklich so sein, wie es die beschriebenen 3-4 Mal war:
    Der Release verzögert sich, da die Redmonder ihre Updates nicht raushauen.

  11. @Robert

    Danke für die Info.

    Schade, dass es keine offiziellen Paketquellen von Mozilla gibt.

  12. Es gibt zwar ein Mozilla-PPA, aber das wird afaik nicht von Mozilla, sondern privat gepflegt.

    Alternativ könnte man auch den originalen Firefox von der Website laden und den Ubuntu-modifizierten deinstallieren. Denn dieser besitzt einen eigenen Update-Manager, wie auch dieMac/Windows-Versionen.

  13. Ich persönlich vertraue einfach den Paket-Bauern meiner Linux-Distribution 🙂

  14. Wie lange dauert es eigentlich im Schnitt, bis die aktuellste Firefox Version auch in den offiziellen Distributions-Quellen liegt? (z.B. bei Ubuntu?)

  15. Bei Arch Linux war es gestern Mittag/Abend drin.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert