Update-Verteilung

  • Huhu, wie der Name schon sagt, suche ich eine Möglichkeit die Firefox-Updates mit Systemmitteln im Netzwerk zu verteilen. Habe schon ein wenig gegoogelt, aber nichts großartiges gefunden. Das hat den einfachen Hintergrund, dass auch mal Updates rauskommen, die nicht installiert werden sollen, grade weil ja einige noch ein paar Sicherheitslücken aufweisen. Bisher werden die Versionen, die verteilt werden sollen, als Paket verpackt und so durch`s Netzwerk geschickt (mit der Softwareverteilung von CA). Das ist aber immer sehr aufwendig und nimmt viel Zeit in Anspruch. Die Update-Überprüfung ist in dem Profil, was von den Anwendern benutzt wird ausgeschalten. Also nochmal an euch die Frage, die ich für mich selbst eigentlich schon mit "nein" beantwortet habe:
    Gibt es eine Möglichkeit, mit Systemmitteln bestimmte Firefox-Updates über das Netzwerk zu verteilen, ohne Firefox neu installieren zu müssen?

    Das Ideal scheitert an der Wirklichkeit.

  • Zitat von Shiek

    ... Hintergrund, dass auch mal Updates rauskommen, die nicht installiert werden sollen, grade weil ja einige noch ein paar Sicherheitslücken aufweisen.

    Updates, die nicht Sicherheitslücken schließen schließen, sondern aufreißen :?: Beispiele dafür? :shock:

  • Zitat

    mit Systemmitteln

    Ohne das "System" konkret zu benennen, ist es schwer dazu etwas zu sagen.

    Zitat

    Bisher werden die Versionen, die verteilt werden sollen, als Paket verpackt und so durch`s Netzwerk geschickt (mit der Softwareverteilung von CA)

    Was für Pakete? CA? Ich kann mir darunter zwar etwas vorstellen, aber ob es anderen auch so geht?

  • Zitat von Cosmo

    Updates, die nicht Sicherheitslücken schließen schließen, sondern aufreißen :?: Beispiele dafür? :shock:


    Nehmen wir einfach mal das, ist relativ aktuell.

    Zitat von boardraider

    Ohne das "System" konkret zu benennen, ist es schwer dazu etwas zu sagen.


    Es handelt sich um Win XP-32 Bit. Der Server ist ein Win 2003 Server.

    Zitat von boardraider

    Was für Pakete? CA? Ich kann mir darunter zwar etwas vorstellen, aber ob es anderen auch so geht?


    Ja, da hast de wohl Recht. Mit Paketen meine ich Firefox-Installationen, die wir selbst erstellen. Diese beinhalten auch schon Konfigurationen, die wir selbst definieren können, sodass bei der Installation schon die Einstellungen mit auf das System raufgespielt werden. CA ist eine von vielen Software-Varianten um diese Pakete dann im Netzwerk auf die PCs zu installieren. Das ist immer sehr aufwendig, da jedes neue Paket auch viel Zeit und Sorgfalt benötigt.

    Das Ideal scheitert an der Wirklichkeit.

  • Zitat von Shiek


    Nehmen wir einfach mal das, ist relativ aktuell.


    ACK. Aber es ist auch ein ganz ungewöhnlicher Einzelfall, keineswegs typisch und wurde kurzfristig gefixt. (Ob es für diese Besonderheit den Aufwand für das, was du beabsichtigst, rechtfertigt oder damit in der Konsequenz nicht neue Probleme auftreten liegt natürlich im Ermessen des Einzelnen; ich bin da sehr skeptisch.)

  • Zitat von Cosmo

    ein ganz ungewöhnlicher Einzelfall, keineswegs typisch


    Das halte ich für ein ganz großes Gerücht :roll:

    Was haben wir denn hier?

    Zitat

    Firefox 3.5 hat eine Sicherheitslücke, die es ermöglicht, dem Nutzer bösartigen Code unterzuschieben.

    Zitat

    Mozillas Firefox 3.5 hat einen gefährlichen Fehler in dem JIT-JavaScript-Compiler.

    Und was ist denn das?

    Zitat

    Ein weiterer Fehler steckt in der Bibliothek liboggplay, die Firefox seit der Version 3.5 zur Wiedergabe von Audio- und Videoinhalten mitbringt

    In der 3.0

    Zitat

    * Critical: Vulnerability can be used to run attacker code and install software, requiring no user interaction beyond normal browsing.
    * High: Vulnerability can be used to gather sensitive data from sites in other windows or inject data or code into those sites, requiring no more than normal browsing actions.
    * Moderate: Vulnerabilities that would otherwise be High or Critical except they only work in uncommon non-default configurations or require the user to perform complicated and/or unlikely steps.
    * Low: Minor security vulnerabilities such as Denial of Service attacks, minor data leaks, or spoofs. (Undetectable spoofs of SSL indicia would have "High" impact because those are generally used to steal sensitive data intended for other sites.)

    In der 2.0

    In der 1.5

    in der 1.0


    Nochmal zusammengefasst: kein Einzelfall :!:
    Wenn die Infragestellung der Beweggründe, die übrigens völlig unerheblich für die Eröffnung des Thread sind, nun beseitigt wären, könnte man ja zum Thema zurückkehren. :|

    Das Ideal scheitert an der Wirklichkeit.

  • IMHO schon.

    Vor allem: Diese Lücken waren i.d.R. bis wenige Tage vor dem Sicherheits-Release nicht dokumentiert. Die Spekulation, daß auch in älteren Versionen bis dato unveröffentlichte Lücken vorhanden sind, ist dagegen keineswegs abwegig, im Gegenteil. Auch der 3.0.* hatte zum gleichen Zeitpunkt wie die Lücke im 3.5.5[1] Lücken, also was soll es? Und da du so schön aufzeigst, daß in jedem Branch Sicherheitslücken gab (was niemand hier bestritten hat): Was willst du damit beweisen? Daß es besser ist, eine alte Version zu behalten, die dokumentierte Sicherheitslücken aufweist in der Annahme, daß irgendwann einmal in der letzten neue Lücken entdeckt werden? Mit dieser Logik könnte man mit dem Scheinargument "Sicherheit" auch beim FF 0.irgendwas stehen bleiben. Eigentlich darf man dann als "Konsequenz" nichts und nirgendwo patchen - weder das OS, noch Browser-Plugins noch irgend etwas. In der jeweils neuesten Version könnte ja irgendwann einmal eine neue Lücke entdeckt werden (wahrscheinlich wird das auch so sein, nur weiß und kennt das noch niemand, noch nicht einmal die potentiellen Angreifer.) Mit welcher Logik willst du zwischen Update-Releases, die würdig sind installiert zu werden und solchen, die verdächtig sind, daß eventuell(!) irgendwann(!) einmal jemand eine Lücke darin findet unterscheiden können? Gäbe es eine solche Logik, so wäre ich fest davon überzeugt daß Mozilla alles daran tun würde, die noch nicht entdeckten Sicherheitslücken zu schließen, bevor das Release, mit dem sie aufgetreten sind, überhaupt zu veröffentlichen.

    Da du bis 1.0 zurück gegangen bist: Wieviel Releases (ohne Pre-Realeases) gab es seitdem? Wir dürften uns da der Zahl 100 annähern. Deswegen: IMHO Einzelfälle, und deswegen eine konsequente Update-Politik zu verweigern reißt um das zigfache, wenn nicht hundertfache mehr Sicherheitslücken auf als du damit umgehen kannst. Die bei Bedarf sehr schnelle Reaktion von Mozilla tut ihr übriges dazu. Deine Fleißarbeit wird zum Bumerang.

    [1] Das Beispiel mit der Ogg Wiedergabe Bibliothek ist auch deswegen ein besonders schlechtes, weil diese Lücke nicht mit 3.5.5 eingeführt worden war, sondern mit 3.5.0. Das heißt, man hätte in der Annahme, daß es so etwas einmal als Entdeckung gegen könnte), ab 3.5.0 nicht mehr mitgehen dürfen. Es konnte aber niemand ahnen, daß es diese Lücke geben würde. Geht man aber von der Annahme aus, daß so etwas früher oder später passiert, dann dürfen wir bis heute noch auf die unveröffentlichten Lücken von 1.0 und höher warten und im 0er Branch verharren. Oder wie lange willst du mit deiner Nicht-Verteilung warten? (womit wir wieder bei der oben genannten Logik wären.) Vielleicht immer aus jedem Zweig das jeweils letzte veröffentlichte Release nehmen, bis die nachfolgende Serie ihr letztes Update bekommen hat? (Dann ist man zwar nicht sicher vor Lücken, aber davor, diese innerhalb des alten Zweiges schließen zu können / müssen.)

  • Zitat von Cosmo

    (was niemand hier bestritten hat): Was willst du damit beweisen?


    ich zitiere:

    Zitat von Cosmo

    Einzelfall


    soweit klar?

    Zitat von Cosmo

    Daß es besser ist, eine alte Version zu behalten, die dokumentierte Sicherheitslücken aufweist in der Annahme, daß irgendwann einmal in der letzten neue Lücken entdeckt werden?


    Nehmen wir doch einfach mal die 3.6 und überlegen was wäre, wenn solche Fehler wirklich in der Praxis auftreten würde. War dieses Problem auch erst Monate nach dem release bekannt? Es geht doch nicht nur darum, die Updates nicht unbedingt zu installieren, weil Sicherheitslücken darin versteckt sein könnten, sondern weil es einfach nicht unbedingt notwendig ist für den administrativen Aufwand, den man betreiben müsste.

    Ich sage es jetzt auch gern noch ein zweites mal:
    Der Grund dafür ist völlig unrelevant, denn ich hab mir meinen Thread grad nochmal sorgfältig durchgelesen und folgendes Zitat nicht finden können:

    Zitat von Shiek

    Ich bitte nun also alle darum, meine eigentliche Frage völlig aus den Augen zu verlieren und den völlig unrelevanten Grund für mein Anliegen permanent in Frage zu stellen


    Ich bin durch diese Diskussionen mit dir in meinem Thread, nicht das erste mal, noch kein Stück weiter gekommen.

    Das Ideal scheitert an der Wirklichkeit.

  • Zitat von Shiek


    soweit klar?


    jetzt klarer?

    Zitat von Cosmo

    Daß es besser ist, eine alte Version zu behalten, die dokumentierte Sicherheitslücken aufweist in der Annahme, daß irgendwann einmal in der letzten neue Lücken entdeckt werden?

    Zitat von Shiek

    Nehmen wir doch einfach mal die 3.6 und überlegen was wäre, wenn solche Fehler wirklich in der Praxis auftreten würde. War dieses Problem auch erst Monate nach dem release bekannt?


    Welche "solche"? Und welches Problem soll eventuell früher als ein paar Monate nach dem Release bekannt geworden sein? Du sprichst in Rätseln, nicht geeignet zum argumentieren. Um die Frage, nach welcher Logik installationswürdige - oder gar -pflichtige - und besser nicht zu installierende Updates unterscheiden werden sollen machst du dafür einen auffällig großen Bogen, obwohl es der entscheidende Knackpunkt ist.

    Zitat von Shiek

    Ich bin durch diese Diskussionen mit dir in meinem Thread, nicht das erste mal, noch kein Stück weiter gekommen.


    Ach, du warst das mit dem faulen taskkill-Trick :roll: ! Mh, das paßt irgendwie gut zusammen. Hier ein Prozeß-Kill, obwohl es keinen Anlaß dafür gibt, dort eine Update-Selektion ohne belastbare Logik für die Selektion. Daß du da stecken geblieben bist, hatte ich im anderen Thread nicht so verstanden, vielmehr las ich "die Variante, dass die unwarscheinliche Möglichkeit besteht, dass FF mal durch den Benutzer abschmiert, ist mir lieber als keine Lösung."

    Damit deine Enttäuschung aber nicht ausufert sei daran erinnert, daß ich bereits im zweiten Beitrag oben die Rechtfertigung für den Aufwand deiner Fragestellung in Zweifel gezogen habe und die Möglichkeit sich daraus ergebender neuer Probleme angeführt habe. Du wirst doch wohl nicht ernsthaft erwartet haben, daß ich mit diesen Voraussetzungen dir eine Lösung (außer der, das geplante Vorhaben zu hinterfragen) anbieten würde.

  • Zitat von Cosmo

    daß ich mit diesen Voraussetzungen dir eine Lösung anbieten würde.


    Keine Angst. Meine Erfahrungen haben mir gezeigt, dass ich die auch unter anderen Umständen nicht erwarten könnte. :roll:

    Zitat von boardraider

    Shiek
    https://developer.mozilla.org/en/Settin ... ate_server
    Das kennst du?


    Sehr interessant, darauf bin ich bei meiner Suche garnicht gestoßen :o
    Das sieht genau wie das aus, was ich suche :P
    Großes Dankeschön an dich, boardraider.
    Das schau ich mir am Montag gleich mal an,
    schönes Wochenende. :wink:

    Das Ideal scheitert an der Wirklichkeit.

  • Zitat von Shiek


    Keine Angst. Meine Erfahrungen haben mir gezeigt, dass ich die auch unter anderen Umständen nicht erwarten könnte. :roll:


    Angst (?) nunmehr gebannt. :lol: Oben las sich das völlig anders. (Vielleicht wurde der Prozeß Erfahrungen.exe gekillt :| )