> Ну и как, помогла мне твоя статистика уязвимостей за прошлый год? Не
> далее как сейчас 2 0-day подряд.Тебе не приходилось читать про теорию игр? Или про её обобщения в виде всяких там теорий принятия решений в неопределённых условиях? Когда ты действуешь исходя из неопределённостей, ты неизбежно будешь ошибаться. От этого никуда уйти не удастся. Но при этом можно ошибаться чаще или реже.
> В случае с уязвимостями в программах у нас нет такого закона, и нет в первую очередь "в природе", а не в науке. Нет закономерностей.
Нет, ты хоть что мне говори, но это всё очень похоже на стандартную эпистемологическую панику технаря, который в кои то веки столкнулся с реально сложной проблемой. Если наука не может тебе предложить готовой закономерности, то всё на что тебе приходится полагаться -- это на базовые философские принципы, типа принципа индукции. Это, понятно, делать надо аккуратно, но у тебя нет другого выхода. В том смысле, что много очень умных людей работали над философией, над тем откуда берётся знание, и многие из них очень скептически относились к принципу индукции, но в конечном итоге они пришли к выводу, что один из базовых принципов. Возьми того же Нассима Талеба, который со своим Чёрным Лебедем как раз критикует бездумное применение индукции -- он ведь не говорит о том, что от индукции надо отказаться, он говорит о том, что её использовать надо осторожнее.
И да, Нассим Талеб называет реализацию твоих сомнений вида "стоит ли закладываться на то, что никто не захочет вдруг поискать и найти" "чёрными лебедями" (это его аналогия с европейцами, которые веками видели лебедей, и все лебеди были белыми, а потом европейцы добрались до Австралии, и выпали в осадок, их мировоззрение порушилось, потому что они встретили чёрного лебедя). Но проблема в том, что если ты придашь "чёрным лебедям" больший приоритет нежели индукции, то ты потеряешь способность вообще здраво принимать решения.
Индукция работает на удивление хорошо: если мы видим статистическую закономерность, которая выполняется некоторое время, то скорее всего она будет выполняться ещё некоторое время, мы можем на это полагаться. Да, там есть много граблей, на которые можно наступить, типа подгонки закономерности под данные, недостаточная статистическая значимость, и много-много других, наука имеет огромный опыт хождения по этим граблям, и есть учебники, которые подводят итог этому опыту позволяя вновь народившимся личинкам учёных, перенять этот опыт за четыре курса бакалавриата, не тратя сотни лет на повторение истории развития науки. Но я к чему это всё, я готов принять критику (и с радостью выслушаю критику), которая укажет на недостаточную статистическую значимость моих выводов, или на то, что я опираюсь на biased данные. Или, например, что эти два 0-day, по сути своей, новая вещь для mozilla, что таких косяков в ff ещё не находили никогда, и есть основания полагать, что их там тысячи. То есть, что произойдёт что-то типа того, что произошло с intel'ом и side-channel attacks: десятилетями всё было спокойно, а потом вдруг каждый месяц по паре дыр, и конца-края этому не видно.
Я с радостью услышу такого рода критику, это будет очень познавательно и вероятно позволит мне улучшить свои предсказательные модели будущего. Но всё что я вижу на данный момент: неопределённость -- такая неопределённость, и как ни крути, но снизить риск в 0 невозможно. Я _знаю_, что снизить риск в ноль невозможно. Но между нулевым риском и стопроцентным риском, есть континуум промежуточных значений.
А до тех пор, пока я не вижу этого "чёрного лебедя", я предпочитаю принимать решения исходя из того, что его нет. Это безопасно в данном случае, в том смысле, что если он приключится, я всегда могу пересчитать все свои выводы, и сменить браузер. Невидимого чёрного лебедя действительно имеет смысл учитывать тогда, когда ты влезаешь в какое-то мероприятие, с невыносимо сложной стратегией выхода, то есть туда, откуда вылезти будет сложно. Например, если ты принимаешь решение о том, в какой вуз поступать -- это решение, которое будет сложно изменить в течение нескольких лет, и отыграть его назад потом будет очень сложно. Есть шансы просто потерять деньги и время, затраченные на обучение. Особенно это интересно будет, если ты оплачиваешь это обучение образовательным кредитом -- можно остаться без полезного образования, без профессии, но с существенным долгом, если вдруг случится что-то, что выбранную тобою специальность сделает невостребованной.
>>> А когда таки случится "невысокая вероятность" и ты всё-таки станешь жертвой 0-day, оная "невысокая вероятность", как по мне, будет слабым утешением.
>> И чё? Есть какое-то рассуждение, которое исходя из этого соображения приведёт к тому, что я должен выбирать браузер с большей частотой нахождения дыр в нём?
> Чем больше дыр, тем меньше дыр.
> Пока я вижу, что ff копирует идеи, связанные с безопасностью из chrome.
> Например, режим строгой изоляции страниц - https://www.opennet.ru/opennews/art.shtml?num=50106
> . Chrome был спроектирован с безопасностью в уме, ff приходится переделывать.
И чё? Да какая мне разница, кто с кого скопировал?
> А вообще, рассуждения о том, почему одна лишь статистика уязвимостей в отрыве
> от других знаний бесполезна, я уже много раз тут писал.
Из других знаний, которые реально стоит учесть, ты упомянул изоляцию сайтов в Chrome. Да, это вполне валидный аргумент. Но я его предпочитаю игнорировать, потому что это не первое "революционное" изменение в chrome, нацеленное на повышение безопасности. Оно вполне укладывается в тренды постоянного повышения уровня защиты Chrome, и я не вижу как именно это изменение вдруг эти тренды сломает. Оно не выглядит для меня тем самым "чёрным лебедем", который нарушит статистику так, что (допустим) в течение года в хроме найдут меньше дыр чем в ff. В ff тоже есть тренды постоянного наращивания защиты.
Что может изменить положение дел -- это резкий рост популярности ff, который приведёт к повышению активности поиска дыр в ff. Но это то, чего мы не наблюдаем.
> Потому что в зависимости от обстоятельств, большое количество найденных дыр в единицу
> времени может говорить как о том, что код пишут сапожники и
> бездари, так и о том, что проект сложный и его активно
> исследуют специалисты по ИБ.
>>>>> Проще и правильнее, как мне кажется, принимать превентивные меры, например, запускать браузер из под отдельного пользователя, вырезать js и пр. условным umatrix везде, где хоть как-то можно и т.п.
>>>> Одно другому совершенно не мешает.
>>> И не помогает.
>> Помогает. Все эти umatrix'ы снижают вероятность пострадать от дыр. Но если у тебя исходно вероятность меньше, то после снижения она будет ещё меньше.
> Я утверждаю, что адекватно посчитать эту вероятность нельзя. А следовательно и нет
> смысла.
Ну, во-первых, можно. Я бы рекомендовал начать с чтения Judea Pearl. Я читал его "Probabilistic Reasoning in Intelligent Systems", которая считается вообще-то классическим трудом, по которому учили не одно поколение студентов. Ещё у него есть книжка с многообещающим названием "Causality: Models, Reasoning, and Inference", но её я не читал, поэтому не рискну рекомендовать.
Pearl'а, вероятно, будет недостаточно, но есть всякие там Think Bayes, которые разбирают вполне практические задачи, показывая как на практике применять все эти идеи.
Если математика в голову сложно лезет, то тогда можно вообще не читать Pearl'а, можно сразу взяться за Think Bayes. Мне кажется его можно освоить и без досконального знания теории.
Во-вторых, не обязательно считать вероятности. Очень часто их можно сравнить между собой не высчитывая. И очень часто знания того, какая вероятность больше, а какая меньше, достаточно для принятия решения. Это кстати мне очень напомнило препода по матану, который нам с первого курса втирал одну мысль: что все эти сложные выкладки, которые учат проделывать в школе, с тем чтобы получить в качестве ответа точное число -- это совершенно бесполезная вещь в матане, где мы берём функцию, раскладываем в ряд Тейлора, затем выкидываем из него почти все слагаемые, оставляя несколько первых, и дальнейшие рассуждения строим на них. Точное значение функции очень часто не важно, чаще надо знать, больше это значение некоего известного нам числа или меньше его. Или достаточно сравнить два неизвестных числа. Он особенно длинную речь на эту тему прочитал, когда разбирал идею теоремы о двух милиционерах^W полицейских, суть которой сводится к тому, что мы берём неудобную нам функцию, наличие предела у которой хотим доказать, заменяем её двумя удобными функциями, одна из которых больше неудобной, а другая меньше. И если эти две удобные функции стремятся к одному и тому же пределу, то они как два полицейский ограничивающие движения арестованного, не пустят неудобную функцию за пределы узкого коридора и "вынудят" её придти к тому же пределу. Никого кроме школьного учителя математики не волнует точность промежуточных вычислений, всем важна точность конечного результата.
А, в-третьих, что за пораженческие настроения? В век, когда вокруг нас начинают появляться реально сложные устройства, которые реально принимают решения, в том числе и решения основанные на неопределённых данных, говорить о том, что эта задача практически неразрешима, это примерно то же самое, что в начале XX века говорить о том, что железо не может заниматься арифметикой. Принятие решений в неопределённых условиях уже давно уважаемая область человеческой деятельности, со вполне практическими результатами, которые можно наблюдать во многих автоматизированных системах, как ходящих на механических ногах, летающих на электрических моторах, так и принимающих решения о том, какие акции продавать, а какие покупать.
> Проще исходить из того, что браузер ненадёжен и строить модель угроз исходя
> из этого, а не гадать на кофейной гуще.
В третий раз скажу тебе: одно другому не мешает. Я именно что рассматриваю браузер как нечто ненадёжное. Но это не мешает мне сравнивать ненадёжности разных браузеров, и выбирать браузер с учётом результатов этого сравнения. umatrix не является панацеей и от всех угроз не спасёт.
