Camp Firefox

Die Firefox-Community

Die aktuelle Version von Firefox können Sie hier kostenlos herunterladen!

Kommentar: Wieso die Zeit von SeaMonkey endgültig abgelaufen ist

SeaMonkey ist eine auf Mozilla-Code basierende Suite, bestehend aus Browser, E-Mail-Client und mehr. In diesem Kommentar führe ich aus, wieso es aus meiner Sicht endgültig Zeit ist, Abschied zu nehmen.

Achtung: Dieser Artikel beschreibt ausschließlich die Meinung und persönliche Interpretation des Verfassers. SeaMonkey ist offiziell nach wie vor ein aktives Projekt.

Was ist SeaMonkey?

Bevor es Firefox und Thunderbird gab, gab es die Mozilla Application Suite. Ursprünglich waren Browser, E-Mail-Client und noch mehr unter einer gemeinsamen Oberfläche vereint. Seit die Mozilla Foundation Ende 2005 die Entwicklung der Mozilla Application Suite zugunsten der Einzelprogramme Firefox und Thunderbird einstellte, wird diese als Community-Projekt unter dem Namen SeaMonkey weitergeführt. Neben dem Browser und E-Mail-Client beinhaltet SeaMonkey auch einen Chat-Client sowie einen WYSIWYG-HTML-Editor.

Man kann nicht sagen, dass SeaMonkey eine extrem große Nutzergemeinde hätte, dafür aber eine umso treuere. Für die Nutzung von SeaMonkey kann es dabei ganz unterschiedliche Gründe geben, wie beispielsweise den angesprochenen Fakt, mit einem Programm alles unter einer Haube zu haben, die Nutzung von Legacy-Erweiterungen, welche in Firefox nicht mehr unterstützt werden, oder ganz einfach, weil einem SeaMonkey so gut gefällt – optisch tut sich bei SeaMonkey nämlich bewusst so gut wie gar nichts.

Was hat sich geändert? Wieso sollte SeaMonkey nicht länger verwendet werden?

Die Anzahl der Probleme und die Anzahl der Nutzer, die von diesen betroffen sind, wächst immer weiter, da das Projekt schon lange nicht mehr mit den steigenden Anforderungen der Zeit Schritt halten kann. Beispiele hierfür werden weiter unten im Artikel genannt. Diese Probleme müssen aber nicht jeden Nutzer betreffen oder zumindest nicht jeden Nutzer stören, so dass diese Probleme nicht ausschlaggebend sind. Jedoch hat sich eine Sache in den letzten Monaten geändert, die von ganz entscheidender Bedeutung ist.

SeaMonkey hat ein ernsthaftes Sicherheits-Problem

SeaMonkey kann nicht länger als sicheres Produkt erachtet werden und das ist ein Problem, welches ausnahmslos jeden Nutzer von SeaMonkey betrifft. Denn SeaMonkey basiert auf der Gecko-Plattform von Mozilla. Genauer gesagt auf Gecko 52. Zumindest alle Sicherheits-Fixes der Gecko-Plattform hat SeaMonkey durch Updates automatisch erhalten, wenn Mozilla die Sicherheitslücken geschlossen hat. Nun erschien im Juni 2018 das letzte Sicherheits-Update für Firefox ESR 52 und damit auch das letzte Update für Gecko 52. Alle danach entdeckten Sicherheitslücken müssen vom SeaMonkey-Projekt selbst behoben werden, ebenso wie sämtliche entdeckten Sicherheitslücken, welche nicht in Gecko, sondern in SeaMonkey selbst stecken.

Zwar hat das SeaMonkey-Projekt im Februar angekündigt, an SeaMonkey 2.49.5 zu arbeiten. Fakt ist aber, dass dieses Update weiter auf sich warten lässt und SeaMonkey nun schon seit SeaMonkey 2.49.4 im Juli 2018 – also seit neun Monaten – kein einziges Update mehr erhalten hat. Wer SeaMonkey von seamonkey.at herunterlädt, erhält sogar nur SeaMonkey 2.49.2 als neueste Version, da diese Webseite seit dem nicht mehr aktualisiert worden ist. Zwar handelt es sich dabei um keine offizielle Webseite des Projekts, dennoch dürfte dies für deutschsprachige SeaMonkey-Nutzer eine beliebte Downloadquelle für SeaMonkey sein. Nicht nur, weil diese Seite im Gegensatz zur offiziellen Webseite in deutscher Sprache existiert, sondern vor allem, weil Google diese Seite an erster Stelle noch vor der offiziellen Webseite anzeigt.

Nutzer von SeaMonkey sitzen teilweise aber wahrscheinlich bei noch älteren Versionen fest, da automatische Updates darüber hinaus auch noch deaktiviert sind und neue Versionen manuell heruntergeladen und installiert werden müssen. Ein Umstand, der ganz sicher nicht jedem SeaMonkey-Nutzer klar ist.

Diese Situation ist, bei aller Liebe zum Projekt und vollstem Verständnis für die Ressourcen-Probleme eines Community-Projekts, nicht akzeptabel. Denn Browser und E-Mail-Client als „Tor zum Internet“ müssen ohne Wenn und Aber sicher sein. Auch wenn vielleicht keine Sicherheitslücken offiziell bekannt sind, so ist es doch nur sehr schwer vorstellbar, dass die Notwendigkeit, Sicherheits-Updates auszuliefern, mit einem Mal verschwunden ist.

Es ist müßig zu erwähnen, dass Sicherheit nicht beim Schließen von Sicherheitslücken aufhört und sämtliche grundsätzlichen Verbesserungen der Sicherheits-Architektur, die Firefox in den letzten zwei Jahren erhalten hat, in SeaMonkey alleine schon aufgrund der Tatsache fehlen, dass man noch Gecko 52 einsetzt, was auf dem Feature-Stand von März 2017 ist und wir mittlerweile April 2019 schreiben.

Das fängt damit an, dass SeaMonkey die Multiprozess-Architektur von Firefox nicht besitzt und damit auch kein Sandboxing. Während dies zumindest auch für Thunderbird zutreffend ist, soll sich das bei Thunderbird noch in diesem Jahr ändern.

Ein weiteres Beispiel ist Quantum CSS, auch Stylo genannt, die in Rust geschriebene CSS-Engine, welche in Firefox 57 eingeführt wurde. Welche Bedeutung dies alleine für die Sicherheit hat, wird durch Zahlen schnell klar: Laut Mozilla hat es in Firefox seit dem Jahr 2002 69 Sicherheitslücken in der Style-Komponente gegeben, also der Komponente, welche für das CSS von Webseiten verantwortlich ist. Von den 69 Sicherheitslücken wären 51 gar nicht erst möglich gewesen, wäre von Anfang an Rust verwendet worden. Das unterstreicht, wie wichtig die zugrunde liegende Technologie ist, wenn es um Sicherheit geht.

In den letzten zwei Jahren wurden aber noch einige weitere Verbesserungen der Sicherheits-Architektur vorgenommen. Hier ließe sich eine ziemlich lange Liste anführen. Dazu muss man nur einmal alle Artikel zu sämtlichen Major-Releases seit Firefox 53 auf diesem Blog lesen. Und aktuell sind wir bei Firefox 66. Zwei Hände reichen zum Zählen aller Sicherheits-Verbesserungen in dem Zeitraum nicht aus. Das führt direkt zum nächsten Grund, wieso die Zeit von SeaMonkey vorbei ist.

Kein aktueller Unterbau auf absehbare Zeit und vielleicht auch keine Zukunft

Im Dezember 2018 hat das SeaMonkey-Projekt ein längst überfälliges Status-Update gegeben. Darin hat man versichert, dass das SeaMonkey-Projekt noch am Leben ist, allerdings auch eingestanden, dass die Zukunft von SeaMonkey ungewiss ist. SeaMonkey auf Firefox ESR 60 basieren zu lassen, wurde in diesem Status-Update praktisch ausgeschlossen. Und für die weitere Zukunft wurde ein noch dunkleres Bild gezeichnet. Denn SeaMonkey hängt noch sehr stark von Teilen der XUL-Architektur ab, welche von Mozilla längst entfernt worden sind.

Die Frage, die für das SeaMonkey-Projekt also naheliegenderweise in dem Raum gestellt wurde, ist die Frage, ob man SeaMonkey auf Firefox Quantum basieren lassen sollte, während man eine Ähnlichkeit zum jetzigen SeaMonkey behält, ob man alles so belassen sollte, wie es ist, bis überhaupt nichts mehr geht, oder man den Gecko-XUL-Code nicht forken sollte. Letzteres dürfte ein praktisch unmögliches Unterfangen sein, da hierfür sowohl Expertise als auch Ressourcen fehlen. Und so blieb diese Frage auch letztlich unbeantwortet, welchen Weg das SeaMonkey-Projekt in Zukunft gehen wird und ob es überhaupt eine Zukunft gibt.

Momentan sieht es nicht einmal so aus, als wäre man überhaupt in der Lage, selbst bei gleichbleibendem Unterbau, auf absehbare Zeit eine neue Version von SeaMonkey zu veröffentlichen.

Langjährige Probleme von SeaMonkey

Während dies nur der aktuelle Auslöser für mein Fazit ist, dass jetzt endgültig die Zeit gekommen ist, von SeaMonkey Abschied zu nehmen, gibt es eine ganze Reihe von Problemen, welche nicht neu sind und SeaMonkey schon eine ganze Weile begleiten.

Dies ist auch nicht weiter verwunderlich. SeaMonkey besitzt eine extrem kleine und nur ehrenamtlich daran arbeitende Entwickler-Gemeinde, was letztlich dazu führt, dass das Projekt nicht Schritt halten kann – weder mit dem Unterbau, auf welchem SeaMonkey basiert, noch mit den Anforderungen der Zeit. Nur dem Nutzer hilft der Grund dafür nicht.

Nicht verifizierter Entwickler

Für Nutzer von Apple macOS fangen die Probleme schon direkt nach der Installation an. Selbst nach Jahren hat man es nicht geschafft, ein verifizierter Entwickler zu sein, was zur Folge hat, dass SeaMonkey mit den Standard-Einstellungen des Betriebssystems ohne Umweg über das Kontextmenü überhaupt nicht gestartet werden kann. Abgesehen vom schlechten ersten Eindruck ist dieser Umweg auch längst nicht jedem Nutzer bekannt.

SeaMonkey

Verpixelte Schrift und Grafiken auf modernen Bildschirmen

Eine weit größere Zielgruppe ist von der immer noch nicht vorhandenen Unterstützung hochauflösender Bildschirme betroffen, was SeaMonkey für all jene Nutzer de facto unbenutzbar, da ungenießbar macht. Während man von Apple schon so gut wie gar keine Geräte mit nicht hochauflösenden Bildschirmen mehr erhält, rüsten längst auch andere Hersteller immer mehr ihrer Geräte mit solchen aus. Die Nicht-Unterstützung in SeaMonkey bedeutet nicht nur, dass die Oberfläche von SeaMonkey eine Pixelbrühe darstellt, auch sämtliche Webseiten werden mit nur sehr schlecht lesbarem Text dargestellt – für einen Browser ein KO-Kriterium.

Keine aktuellen Erweiterungen

Die Erweiterungs-Unterstützung mag für manche Nutzer ein Grund sein, SeaMonkey zu nutzen, immerhin unterstützt SeaMonkey noch die veralteten XUL-Erweiterungen. SeaMonkey hat aber bereits das Add-on SDK für Firefox nicht unterstützt und unterstützt jetzt ebenso keine WebExtensions. Das heißt, sämtliche Firefox-Erweiterungen der letzten Jahre sind nicht mit SeaMonkey kompatibel. Und da es zwischen Firefox und SeaMoney keine gemeinsame Erweiterungs-Schnittstelle gibt, müssten Erweiterungs-Entwickler für Firefox und SeaMonkey zwei voneinander vollkommen unabhängige Erweiterungen auf Basis völlig unterschiedlicher Architekturen entwickeln, um beide Produkte zu bedienen. Die Zahl der Entwickler, die das tun, dürfte überschaubar sein – falls es überhaupt auch nur einen einzigen gibt.

Daraus folgt nicht nur, dass viele tolle Erweiterungen, die in der Zwischenzeit entstanden sind, in SeaMonkey nicht genutzt werden können, auch für bestehende Erweiterungen sind kaum noch Kompatibilitäts-Anpassungen zu erwarten.

Und nachdem selbst Thunderbird längst fleißig dabei ist, die unterschiedlichsten WebExtension-APIs zu implementieren, sieht es auch für Erweiterungen der Mail-Komponente von SeaMonkey düster aus, wenn man in die Zukunft schaut. Denn auch hier werden Entwickler kaum zwei völlig verschiedene Erweiterungen für eine Sache entwickeln und anbieten.

… und noch viele Baustellen mehr

Eine Synchronisation von Lesezeichen, Chronik und Zugangsdaten gibt es mittlerweile wieder – dies war eine Weile nicht der Fall -, allerdings noch basierend auf dem alten, von Mozilla seit Jahren nicht mehr verwendeten Sync-Protokoll und ohne Firefox Account. Das heißt, eine Synchronisation von Daten mit einem Desktop-Firefox, Firefox auf dem Smartphone oder dem Passwort-Manager Firefox Lockbox ist nicht möglich.

Solange SeaMonkey auf Gecko 52 basiert, fehlt natürlich auch die Unterstützung für sämtliche Webstandards, welche erst danach implementiert worden sind. Es ist kein seltener Irrglaube, dass einen das als Nutzer nicht betreffen würde. Dabei ist das exakte Gegenteil der Fall: Webstandards betreffen sämtliche Nutzer und das ganz direkt: nämlich dann, wenn es um die Darstellung von Webseiten geht, was wohl ohne jeden Zweifel die eine Kernaufgabe eines jeden Browsers ist. In der Regel schauen Webentwickler bei der Entwicklung von Webseiten nämlich nicht auf ältere Firefox-Versionen, schon gar nicht auf Versionen, die über zwei Jahre alt sind. Je weiter die Zeit voranschreitet, desto mehr Webseiten werden von SeaMonkey also nicht mehr korrekt dargestellt, was dem natürlichen Lauf der Dinge entspricht, wenn man einen veralteten Browser nutzt – was SeaMonkey nun einmal ist, selbst wenn es Updates geben würde, solange in SeaMonkey noch Gecko 52 steckt.

Ähnlich wie die Darstellung von Webseiten hängt natürlich auch die Performance ganz maßgeblich von der Gecko-Engine ab und die Geschwindigkeitsunterschiede zwischen Gecko 52 und der aktuellen Version 66 sind signifikant und nicht von der Hand zu weisen.

Fazit

Letztlich muss jeder Nutzer für sich selbst entscheiden, ob er SeaMonkey Stand 2019 noch für eine geeignete Wahl hält. Was für den einen das beste ist, muss für den nächsten nicht zwangsläufig auch das beste sein.

Wenn es um den Funktionsumfang und das Design geht, ist das eine höchst individuelle Frage, welcher Browser für einen persönlich der beste ist. Die Wahrnehmung von Geschwindigkeit unterscheidet sich von Mensch zu Mensch und nicht jeder misst dem eine gleich hohe Bedeutung bei. Von den offensichtlichen Schwächen ist nicht jeder Nutzer in der gleichen Weise betroffen. Und so kann SeaMonkey trotz allem für den einen oder anderen Nutzer noch immer eine brauchbare Wahl sein.

Allerdings ist meine persönliche Empfehlung als Experte im Browser-Bereich, das Thema Sicherheit nicht auf die leichte Schulter zu nehmen. Beim derzeitigen Stand der Dinge könnte ich SeaMonkey daher nicht guten Gewissens weiterempfehlen. Im Gegenteil müsste ich von der Verwendung von SeaMonkey sogar abraten, weil Sicherheit beim Browser einfach über allem anderen steht und ich das aus den genannten Gründen überhaupt nicht mehr gewährleistet sehe.

Achtung: Dieser Artikel beschreibt ausschließlich die Meinung und persönliche Interpretation des Verfassers. SeaMonkey ist offiziell nach wie vor ein aktives Projekt.

Der Beitrag Kommentar: Wieso die Zeit von SeaMonkey endgültig abgelaufen ist erschien zuerst auf soeren-hentzschel.at.

Diese Website verwendet zur Verbesserung des Angebotes Cookies. Wenn Sie weiter auf der Seite bleiben, stimmen Sie der Cookie-Nutzung zu.
Weitere Informationen OK