<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /></head><body text="#000000" bgcolor="#FFFFFF">Normally we don't do "me too", but given that rkent is actually seriously arguing it: <br>
<br>
What magnus said. exactly that.<br>
<br>
"mememe, i close my eyes, so you're there" doesn't work when you have 25 million users.<br>
<br>
Ben<br>
<br>
<br>
<br><br><div class="gmail_quote">Am 17. Dezember 2016 13:10:14 MEZ, schrieb Magnus Melin <mkmelin+mozilla@iki.fi>:<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

  
    
  
  
    On 16.12.2016 17:24, Disaster Master wrote:<br />
    <blockquote type="cite" cite="mid:f2273f62-0389-ab8e-7b21-2990cb9aee97@gmail.com">
      <div class="moz-cite-prefix">On 12/15/2016 7:02 PM, R Kent James <a class="moz-txt-link-rfc2396E" href="mailto:kent@caspia.com" moz-do-not-send="true"><kent@caspia.com></a> wrote: </div>
      <blockquote cite="mid:12b6c4eb-e0a5-b693-cbc5-a0dff2de72ba@caspia.com" type="cite">
        <pre wrap="">Postbox's new release is on Gecko 7.0.1, which is now over 5 years old. I have not heard any great outcry about their security issues, and someone on this list (...cough..  BK...cough..ensa) keeps telling us what a great product that is, and how popular it is in Mozilla. So clearly forking Gecko is a CHOICE, and if people at Mozilla are using it then some people at Mozilla must not care that it is based on old Gecko, either.</pre>
      </blockquote>
      <br />
      This supports my feeling that the security risks are actually much
      smaller for TB than they would be for, for example, Pale Moon.<br />
    </blockquote>
    <br />
    The security risks are very present, you're just living on hope
    thatnobody bothers to target you. Just to put things in numbers:
    there have been 96 security advisories from Mozilla this year alone.
    So with Gecko 7.0.1 (from 2011) there are virtually hundreds of
    holes just looming along in Postbox. These are so old security bugs
    that they are public by now, many with explicit instructions...<br />
    <br />
    <blockquote type="cite" cite="mid:f2273f62-0389-ab8e-7b21-2990cb9aee97@gmail.com"> <br />
      <blockquote cite="mid:12b6c4eb-e0a5-b693-cbc5-a0dff2de72ba@caspia.com" type="cite">
        <pre wrap="">You don't like that choice, and neither do I, but it is clearly an option.</pre>
      </blockquote>
      <br />
      And using this as an example, if it was forked, say, in a years
      time, then TB could theoretically be OK for a number of years
      after that, even as many as 5 or more.</blockquote>
    <p>Hardly. If you make it easy, Thunderbird is large enough to be an
      interesting attack target.</p>
    <p> -Magnus<br />
    </p>
    <p><br />
    </p>
  

<p style="margin-top: 2.5em; margin-bottom: 1em; border-bottom: 1px solid #000"></p><pre class="k9mail"><hr /><br />tb-planning mailing list<br />tb-planning@mozilla.org<br /><a href="https://mail.mozilla.org/listinfo/tb-planning">https://mail.mozilla.org/listinfo/tb-planning</a><br /></pre></blockquote></div><br>
-- <br>
Sent from my mobile phone. Please excuse the brevity.</body></html>