Debianizzati.Org

s3v ha scritto:Ma la tabella nuova quando esce?

Ti lamentavi sempre che ero troppo veloce così mi sono adeguata ai tempi degli altri.

s3v ha scritto:Io sono favorevolissimo ad inserire da qualche parte indicazioni sull'aderenza stretta (o non aderenza) ai dettami FSF ma non mi ricordo più com'è fatta la nuova versione della tabella

Ma che figure mi fai fare?!

invece di parlare tra di voi, Selky, mi spieghi che figura hai fatto?

@dring era solo una battuta a s3v perché lui TEORICAMENTE dovrebbe saperlo meglio degli altri come è fatta la nuova tabella, come dovrebbe sapere che il modello è reperibile nel mio profilo wiki.
Sì lo so, le faccine le uso alla mia maniera e non imparerò mai.

Non so se la questione era già stata sollevata, ma Debian supporta solo i browser principali (parlando di quelli grafici, con supporto per JavaScript), ossia Firefox, Chromium e pochi altri (Epiphany dovrebbe essere supportato, ma non saprei quali altri). La maggior parte degli altri non riceveranno alcun aggiornamento, nemmeno in presenza di bug critici.

Per esempio Midori e Konqueror possono essere installati, ma non sono da usarsi per navigare su Internet. Per maggiori informazioni si può installare il pacchetto debian-security-support e controllare con:

Codice: Seleziona tutto

$ check-support-status

Forse si potrebbe aggiungere una nota di avviso alla tabella, o sennò rimuovere gli altri browser.

Purtroppo il pacchetto debian-security-support restituisce solo informazioni riguardanti i pacchetti installati sul sistema in uso. Ovviamente non li ho tutti e quindi devo effettuare delle ricerche online per capire meglio.

Sono contraria alla loro eliminazione dalla tabella perché sono comunque disponibili per altri sistemi. Se siete certi che i browser indicati siano inutili e non funzionali nello specifico per Debian, si possono rimuovere i link di questo, fermo restando che i pacchetti citati sono tutt'ora presenti nei repo ufficiali e questo sarebbe poco coerente.

Nel realizzare la nuova tabella software mi sono attenuta esattamente alla filosofia della pagina originale, ossia
La tabella, suddivisa in macro-categorie, cerca di riassumere le alternative libere a diffusi programmi proprietari, a prescindere dal sistema operativo sul quale essi girano.
Niente a che vedere con guide specifiche relative esclusivamente a Debian.

Nel caso si decida di inserire delle note, sarebbe utile l'aiuto (in questa stessa discussione) di chi questi pacchetti ce li ha o ce li aveva o comunque segnalare con link utili (in questo caso i Browser ma vale in generale per tutti), quindi confidenza e conoscenza della situazione in modo da riportare affermazioni certe. Sarei grata di questo e mi faciliterebbe il lavoro che tutti voi non vedete ma c'è.

Controllando il file ho notato che è uno script e si limita a effettuare il parsing dei file in "/usr/share/debian-security-support".

Di seguito riporto il contenuto di '''security-support-ended''':

Codice: Seleziona tutto

# List of packages whose security support ends before the distribution EOL

# File format: Columns, separated by one or more space characters
# 1. source package name
# 2. last version with support
#    Important: If there have been binNMUs, enter the highest version
#    number used
# 3. Date when support ended or will end, in the form YYYY-mm-dd
# 4. Descriptive text or URL with more details (optional)
#    In the program's output, this is prefixed with "Details:"

tomcat6                  6.0.45+dfsg-1           2016-12-31  https://lists.debian.org/debian-java/2016/01/msg00069.html


E di '''security-support-limited''':

Codice: Seleziona tutto

# List of packages where security support is limited

# File format: Columns, separated by one or more space characters
# 1. source package name
# 2. Descriptive text or URL with more details (optional)
#    In the program's output, this is prefixed with "Details:"

adns            Stub resolver that should only be used with trusted recursors
ganglia         See README.Debian.security, only supported behind an authenticated HTTP zone, #702775
ganglia-web     See README.Debian.security, only supported behind an authenticated HTTP zone, #702776
glpi            Only supported behind an authenticated HTTP zone for trusted users
kde4libs        khtml has no security support upstream, only for use on trusted content
libv8-3.14      Not covered by security support, only suitable for trusted content
ltp             Pure Testsuite, only supported on non-production non-multiuser systems
mozjs           Not covered by security support, only suitable for trusted content
mozjs17         Not covered by security support, only suitable for trusted content
mozjs24         Not covered by security support, only suitable for trusted content
ocsinventory-server Only supported behind an authenticated HTTP zone
qtwebkit        No security support upstream and backports not feasible, only for use on trusted content
qtwebkit-opensource-src No security support upstream and backports not feasible, only for use on trusted content
sql-ledger      Only supported behind an authenticated HTTP zone
webkitgtk       No security support upstream and backports not feasible, only for use on trusted content
wine-gecko-2.21 Not covered by security support, see https://bugs.debian.org/804058
wine-gecko-2.24 Not covered by security support, see https://bugs.debian.org/804058
xulrunner       Xulrunner was added in Wheezy 7.8 to fix build failures since Iceweasel 31 no longer provides a Xul lib. It's not covered by security support


Purtroppo contiene soltanto i pacchetti sorgenti e non quelli binari che ne sono affetti, né tanto meno quelli che li hanno come dipendenze. Dopo cena provo a ottenere una lista.

Lo script utilizza dpkg per reperire le informazioni sui pacchetti binari installati, che è veloce ma appunto è limitato soltanto a quelli installati (o comunque noti al sistema perché lo erano in precedenza).

Per reperire informazioni sugli altri pacchetti ho usato "apt-cache showsrc", estratto la riga "Binary" e poi ottenuto la lista completa di tutte le dipendenze inverse (ricorsivamente) dei binari con "apt-cache --important --recurse rdepends".
Poi ho fatto un'intersezione di questo insieme con quello di tutti i browser grafici (campo "Provides" contiene "www-browser" e hanno il tag "interface::x11"), ottenuti con la ricerca avanzata di aptitude.

Non so se la lista è esaustiva (non credo che i tag siano del tutto affidabili), ma al momento è questa: konqueror, midori, qupzilla, surf e uzbl.

Ti ringrazio Hall.

Per utilizzare "apt-cache showsrc" deduco sia necessario abilitare anche i repo src in quanto ottengo l'errore: "È necessario inserire alcuni URI di tipo "source" nel file sources.list"

(non credo che i tag siano del tutto affidabili),"

Concordo. Faccio prima a controllare direttamente nel PTS la situazione.
Esempio qupzilla non mi pare assolutamente in stato di abbandono.

Konqueror https://forum.kde.org/viewtopic.php?f=22&t=127884 e in questa pagina https://www.kde.org/info/security/ non vedo vulnerabilità recenti.
Ne esistono ma sono li da anni https://security-tracker.debian.org/tra ... e-baseapps

Midori su Debian pare che il problema sia la mancanza di un repo di sviluppo.

Sì, per poter utilizzare "apt-cache showsrc" bisogna avere abilitati i repository sorgente (e poi effettuare un "apt-get update").

Il problema di qupzilla è che dipende da "libqt5webkit5", pacchetto binario ottenuto dal pacchetto sorgente "qtwebkit-opensource-src", che ha supporto limitato per la sicurezza ("No security support upstream and backports not feasible, only for use on trusted content").
Almeno tutti quelli indicati, salvo errori nel mio script, presentano un problema simile (una loro dipendenza ha supporto limitato). Ed è possibile che ce ne siano altri affetti (con altri tag ho trovato anche "arora" e "xombrero").

Ovviamente qupzilla come anche tutti gli altri browser sono progetti validi, quello che è problematico è il loro uso su fonti potenzialmente non fidate (Internet...) mediante installazione dai repository, visto che il team di sicurezza non si impegna a tenerli aggiornati. Quindi chi li usa per navigare su Internet deve tenerli aggiornati da sé, preoccupandosi anche di utilizzare delle librerie aggiornate e non quelle messe a disposizione da Debian nei repository (che poi sono il vero problema).

Non saprei però come comunicarlo brevemente nella tabella Software, sempre ammesso che quello sia il posto giusto. Volevo solo sollevare il problema sul fatto che chi la naviga potrebbe poi decidere di installare del software che, contrariamente alla quasi totalità di quello disponibile nei repository di una stable, non verrà corretto nemmeno in presenza di bug critici.

Forse si può dividere la parte "browser" in "browser supportati" e "browser non supportati ufficialmente" (con supporto di sicurezza limitato, terminato o che non si trovano nemmeno nei repository).

La situazione che presenti sicuramente riguarderà tantissimi altri pacchetti (oltre ai browser).
Tornando all'esempio qupzilla, è presente in tutti i repo delle varie release: https://packages.debian.org/search?suit ... s=qupzilla.
Leggendo la tua spiegazione "sembra" che Debian rilasci tranquillamente pacchetti non sicuri e questo spontaneamente mi fa dire "Alla faccia della sicurezza e affidabilità, allora è una presa per il ...."
Pertanto affermare che è "buona regola" scaricare solo ed esclusivamente dai repo ufficiali perché considerati i soli affidabili è una benemerita fesseria. Devo andarmi a cercare altrove il modo di tamponare il problema sicurezza perché loro non se ne occupano ma lasciano ugualmente sui loro repo i pacchetti senza segnalare il problema chiaramente nella scheda di descrizione. Posizione dove un utente capirebbe immediatamente come comportarsi e decidere sul da farsi.
Devo farlo io? Stiamo scherzando?
Analizzare la situazione per Debian di ogni singolo software presente nella tabella perché loro la gestiscono così non ci penso proprio.
Nota che mi è capitato di segnalare qualcosa di particolare ma era anche documentato e soprattutto facilmente reperibile.

A questo punto tolgo tutti i link a Debian e lascio solo la disponibilità Linux, Mac Windows senza inserire collegamenti diretti.
Se qualcuno è interessato a uno specifico programma, se lo cerca da solo su Debian.

Mi sembra che ci sia stato un avviso durante l'aggiornamento, anche se non potrei giurarci. Ciò comunque è segnalato anche nelle note di rilascio, al capitolo 5.2 (limitazione al supporto di sicurezza) e a seguire c'è una sottosezione dedicata specificatamente ai browser che riporta:

Debian 9 contiene diversi motori per browser che sono affetti da varie vulnerabilità di sicurezza. L'alto tasso di vulnerabilità e la parziale mancanza di supporto a lungo termine da parte degli autori originali complica l'attività di supporto di questi browser tramite l'applicazione delle correzioni di sicurezza alle versioni precedenti. Inoltre la dipendenza reciproca delle librerie rende impossibile aggiornare a una nuova versione. Perciò, in stretch sono presenti browser basati sui motori webkit, qtwebkit e khtml, ma non sono coperti dal supporto di sicurezza. Non si dovrebbe usare questi browser con siti web non fidati.

Per un browser web di uso generico si raccomanda Firefox oppure Chromium.

Quindi si potrebbe: semplicemente rimuovere gli altri browser, inclusi quelli che attualmente non hanno problemi come Epiphany, ma che potrebbero averne durante il corso di vita di Stretch; aggiungere un avviso; oppure dividere la sezione in due (browser supportati - non supportati). A me sta bene qualsiasi cosa purché non si consigli di utilizzare browser non supportati.

Certo non sono gli unici pacchetti affetti, ma penso che i browser siano i più importanti, visto che si usano per accedere a Internet.

Su questo pc non ho ancora aggiornato a stretch, non ho avuto modo di visualizzare l'avviso e ho omesso di leggere le novità della release stable Stretch perché al momento non mi interessa.

Per un browser web di uso generico si raccomanda Firefox oppure Chromium.

Questa affermazione trova il tempo che trova ed è la medesima presente nella release Jessie. Per come la vedo io il problema riguarda la release "Stable" e precedenti, non la testing e successive dove i pacchetti, se ci sono, vengono aggiornati.

Chromium ha problemi non risolti https://security-tracker.debian.org/tra ... um-browser
oppure, lasciando i browser, icedove (ora thunderbird) https://security-tracker.debian.org/tra ... ge/icedove
Vulnerabilità che non sono lì da due giorni.

HAL 9000 ha scritto:oppure dividere la sezione in due (browser supportati - non supportati). A me sta bene qualsiasi cosa purché non si consigli di utilizzare browser non supportati.

La frase "non supportati" in questo caso suona male, ho riportato un esempio di interpretazione nel mio post precedente.
La tabella altro non è che una lista di alternative comuni a software proprietari e basta. Semplicemente "Alcune alternative a questo genere di programmi sono A, B, C, ecc.. Maggiori informazioni sono reperibili consultando il link del programma in questione e tramite una ricerca online..."
Non è nata per Debian.
Posso inserire una nota per i programmi che hai citato in modo da avvisare gli utenti ma non rimuovere il programma in sé che esiste ed è attivo.
Ciò che tu proponi è un lavoro che non spetta a me per la tabella ma a chi si occupa dei repo Debian. Se sanno che sono programmi problematici perché li lasciano? Che li eliminino.

Se non sbaglio QtWebKit è richiesto per KDevelop, KMail, Kontact, KTorrent, Amarok, Quassel e altri. Dovrei eliminare anche questi dalla tabella.

Non dico che tutto il software in main sia esente da bug, ma se c'è una patch disponibile c'è qualcuno incaricato a occuparsene. Quelle per la maggior parte degli altri browser su Debian non arriveranno in main nemmeno quando ci sarà una patch, già da adesso, e Stretch sarà supportata fino ad almeno metà 2020.

Trovo sufficiente comunque l'aggiunta di una nota, giusto per informare gli utenti, per i browser che non sono Firefox e Chromium.
Quei progetti sono software libero e sono di per sé validissimi. Solo che allo stato attuale non sono supportati dal team di sicurezza di Debian per tutte le loro dipendenze (e in particolare per quelle librerie webkit).

Comunque non penso che qualcuno si aspetti che chi contribuisce alle nostre guide Wiki si debba far carico anche di controllare il supporto di sicurezza relativo a ogni singolo pacchetto e per tutte le versioni di Debian, ma almeno per quella sezione penso che una nota sia utile e soprattutto a vantaggio della nostra utenza.

Se può servire, e si decide di estendere questo controllo anche alle altre sezioni, posso provare a fornire una lista su tutto il software non supportato.

Non ci stiamo capendo. Riprovo a spiegarmi.

Wheezy

5.2. Stato della sicurezza dei browser web
Debian 7.0 contiene diversi motori per browser che sono affetti da varie vulnerabilità di sicurezza. L'alto tasso di vulnerabilità e la parziale mancanza di supporto a lungo termine da parte degli autori originali complica l'attività di supporto di questi browser tramite l'applicazione delle correzioni di sicurezza alle versioni precedenti. Inoltre la dipendenza reciproca delle librerie rende impossibile aggiornare a una nuova versione. Perciò, in Wheezy sono presenti browser basati sui motori webkit, qtwebkit e khtml, ma non sono coperti dal supporto di sicurezza. Non si dovrebbe usare questi browser con siti web non fidati.
Per la navigazione su web si raccomandano i browser basati sul motore Mozilla xulrunner (Iceweasel e Iceape) oppure Chromium.
Xulrunner ha dimostrato nella storia delle versioni precedenti di avere una buona portabilità all'indietro. Chromium, pur essendo costruito sulla base di codice Webkit, è un pacchetto foglia, che sarà mantenuto aggiornato ricompilando le attuali versioni contenute nel rilascio stabile.

Jessie

5.1.1. Stato della sicurezza dei browser web
Debian 8 contiene diversi motori per browser che sono affetti da varie vulnerabilità di sicurezza. L'alto tasso di vulnerabilità e la parziale mancanza di supporto a lungo termine da parte degli autori originali complica l'attività di supporto di questi browser tramite l'applicazione delle correzioni di sicurezza alle versioni precedenti. Inoltre la dipendenza reciproca delle librerie rende impossibile aggiornare a una nuova versione. Perciò, in Jessie sono presenti browser basati sui motori webkit, qtwebkit e khtml, ma non sono coperti dal supporto di sicurezza. Non si dovrebbe usare questi browser con siti web non fidati.
Per un browser web di uso generico si raccomanda Iceweasel oppure Chromium.
Chromium, pur essendo costruito sul codice Webkit, è un pacchetto foglia che verrà mantenuto aggiornato ricompilando i rilasci correnti di Chromium per stable. Iceweasel e Icedove verranno anch'essi mantenuti aggiornati ricompilando i rilasci ESR correnti per stable.

Tralascio per Stretch che l'hai già aggiunto te in precedenza.
Ogni rilascio della stable se la porta dietro perché sono librerie fondamentali che non possono subire cambiamenti radicali.
Pertanto le modifiche, la sicurezza e tutto ciò che vi gira attorno avvengono nelle release successive cioè da testing in poi. Qua i pacchetti vengono aggiornati, ritirati, ecc... Sai meglio di me che in una stable questo non può succedere.

Come ti ho fatto notare, KDE versione stable sarebbe da eliminare considerati quanti programmi ne sono affetti, software che utilizzano la connessione internet. Dovrei consigliare, a chi la vuole utilizzare, di evitarla come la peste perché altamente pericolosa per la sicurezza. Guai ad utilizzare Kmail, e così via.

Idem per altri da te suggeriti compreso Epiphany e tutte le applicazioni che utilizzano WebKitGTK come Evolution,ecc..
Come vedi sono ancora tutti presenti nei repo, Epiphany esiste ancora nonostante sia tra quelli a rischio da almeno il 2013 quando è stata rilasciata Wheezy.
Sino a Squeeze la situazione era diversa.

Spero di essermi spiegata.
Comunque nessun problema a inserire una nota.

Selky ha scritto:Non ci stiamo capendo. [...]
Spero di essermi spiegata.

Non ero al corrente che il problema risalisse fino a Wheezy, anche se ricordavo qualcosa di simile anche per Jessie. Si potrebbe aggiungere una nota (o anche solo un * che rimanda a una nota a fine pagina) per i browser di Debian Stretch e precedenti, che rimanda al capitolo 5.2 delle note di rilascio (da tenere controllato e aggiornato a ogni nuovo rilascio di Debian, limitatamente a quanto riportato nelle note di rilascio).

Comunque nessun problema a inserire una nota.

Ok, grazie.

--- --- ---

Di seguito, giusto per completezza alla discussione, riporto gli altri programmi grafici con accesso a Internet attualmente interessati (la lista potrebbe non essere esaustiva), se qualcuno fosse interessato.

e-mail client:
balsa
kmail

chat/call:
empathy
kadu
kopete
kvirc
quassel

RSS/Atom feed aggregator:
akregator
blam

news reader:
knode

P2P:
gnunet-gtk
kmldonkey
ktorrent