<html>

  <head>

    <meta http-equiv="content-type" content="text/html; charset=windows-1252">

  </head>

  <body smarttemplateinserted="true" bgcolor="#FFFFFF" text="#000000">

    <div id="smartTemplate4-template">I wonder how Postbox manages,

      AFAIK they still use Gecko 9.0<br>

      <br>

      Did Mozilla ever consider splitting Gecko from M-C? I would

      believe if it was in a separate branch it would be much easier to

      stay in sync.<br>

      <br>

      Axel<br>

       <br>

      -- <br>

      <style type="text/css">

.myName:hover, .myName a:hover { font-size:13pt; text-shadow: 3px 3px 4px rgba(200,250,200,0.7);}

.moz-signature {opacity: 1.0 !important;}

.myName a { cursor: pointer !important; transition:font-size 0.5s;}

.myLogo {

        transition: all .4s ease-out;

}

.myLogo:hover {

  transform: scale(3) translate(-30px,-5px);

}

</style>

      <div id="mySignature" style="width: 65%; padding: 0.8em 1.2em;

        font:x-small verdana; color: #444; box-shadow: 4px 4px 9px -2px

        rgba(0,0,0,0.65); border-radius: 1em; padding: 0.4em 2em;

        border: 1px dashed #444; background: rgb(230,240,163);

        background: linear-gradient(to bottom, rgba(230,240,163,1)

        0%,rgba(210,230,56,1) 50%,rgba(195,216,37,1)

        51%,rgba(219,240,67,1) 100%);">

        <b class="myName" style="text-shadow: 1px 1px 2px #DDD;

          transition:font-size 0.5s;"><a

            href="mailto:axel.grude@gmail.com">Axel Grude</a></b>

        <br>

        Software Developer

        <br>

        Thunderbird Add-ons Developer

        <span style="color:#666666; font-size:xx-small">(QuickFolders,

          quickFilters, QuickPasswords, Zombie Keys, SmartTemplate4)</span>

        <br>

        AMO Editor <img style="margin-top: 1em; float: right;

          box-shadow: 1px 1px 2px rgba(20, 20, 20, 0.4);"

          moz-do-not-send="false" class="myLogo"

          src="cid:part2.04080904.07040102@gmail.com" alt="Get

          Thunderbird!" height="15" width="94">

      </div>

    </div>

    <div id="smartTemplate4-quoteHeader">

      <style type="text/css" scoped="">

#newHeaderAG1 b { font-weight:bold; color: #990033; }

</style><br>

      <blockquote type="cite" style="margin-bottom: -20px !important;

        padding-bottom:20px !important;">

        <div id="newHeaderAG1" style="font-size: x-small; padding:1em;

          background-color:rgba(220,220,240,0.4); border-radius:3px;"> <b>Subject:</b>

          Why we need Gecko updates (was: Future Planning: Thunderbird

          as a Web App)<br>

          <b>To:</b> Tb-planning, Gervase Markham <br>

          <b>From: </b>Ben Bucksch<br>

          <b>Sent: </b>Wednesday, 09/12/2015 00:40:09 00:40 GMT ST

          +0000 [Week 49]<br>

        </div>

      </blockquote>

    </div>

    <blockquote class=" cite" id="mid_56677869_9070404_beonex_com"

      cite="mid:56677869.9070404@beonex.com" type="cite">Gervase Markham

      wrote on 18.09.2015 15:32:

      <br>

      <blockquote class=" cite" id="Cite_115422" type="cite">To put it

        another way: "what would we have lost if we had forked m-c two

        <br>

        years ago"?

        <br>

      </blockquote>

      <br>

      Hey Gerv,

      <br>

      <br>

      That's simple to answer: Security patches.

      <br>

      <br>

      As you know from being at the Mozilla Security Group and the

      public advisories, the Gecko rendering and JS engine has security

      holes fairly regularly. Every month (or every few months), there's

      a critical security hole, whereby "critical" means that any random

      ad published via an ad server on a website you visit can read all

      your files on your computer, install random malware, impersonate

      as you, and generally can do whatever you can do on your own

      computer.

      <br>

      <br>

      In Thunderbird, the risk is even larger than in Firefox. In

      Firefox, you need to actively go to a website, and that website

      needs to attack you (possibly via an ad server). We still assume

      that an attacker will manage to get you to his website somehow,

      and we consider such a critical bug the end of the computing

      world. In Thunderbird, the attacker has it even easier: He just

      needs to send you an HTML email. You view it, and you're done.

      Dead.

      <br>

      <br>

      The default in Thunderbird is the HTML viewer.

      <br>

      <br>

      Mitigation:

      <br>

      * JS is disabled by default

      <br>

      * "View | Message body as | Simple HTML", which tries to prevent

      most security holes with HTML.

      <br>

      Neither is bullet-proof and some classes of bugs, e.g. in the

      parser, or image decoders or - worse - in the complex native video

      codecs, are still going to hit you with their full force.

      <br>

      <br>

      Unfortunately, Mozilla gave up on supporting old Gecko versions

      with security patches. Time's over once the ESR release is

      unsupported, which is currently 6-8 months. Anything else was

      considered not feasible for Firefox security team. There's no

      chance that the Thunderbird team can keep up.

      <br>

      <br>

      So, as much as I'd like that personally, forking Gecko is not an

      option.

      <br>

      <br>

      (These dreaded security holes and the lack of patches have crossed

      many plans, in many different areas and products and companies.)

      <br>

      _______________________________________________

      <br>

      tb-planning mailing list

      <br>

      <a class="moz-txt-link-abbreviated" href="mailto:tb-planning@mozilla.org">tb-planning@mozilla.org</a>

      <br>

      <a class="moz-txt-link-freetext" href="https://mail.mozilla.org/listinfo/tb-planning">https://mail.mozilla.org/listinfo/tb-planning</a>

      <br>

      <br>

    </blockquote>

    <br>

    <br>

  </body>

</html>