>> Почему же? Какая мне разница, как пользователю, почему в браузере меньше дыр находят?
> Потому что в том случае, если они там есть, но не найдены,
> есть вероятность, что их найдёт кто-то очень умный и попробует воспользоваться
> ими не сообщая об этом широкой ответственности. Т.е. официально дыры нет,
> а по-факту - да.Эта вероятность есть и для популярного браузера, но там ищут интенсивнее, чаще находят (при равном количестве багов в коде) и значит чаще оказывается, что есть известные лишь некоторым баги, которые эксплуатируются.
Хотя здесь нужно учесть ещё один фактор: уязвимости выкупают всякие там гуглы, выплачивая награды. У непопулярного браузера уязвимости позволяют криминалу заработать меньше денег, значит при прочих равных их выгоднее сдавать открыто за награды. Но это при прочих равных, если награды равны. А они с большой вероятностью не равны. Как учесть это я не знаю -- надо изучать кто и какие награды выплачивает.
>> Это называется капитуляция перед неопределённостью. Отказ делать какие-либо предсказания, под предлогом невозможности. То есть это вообще отказ от идеи иметь какую-либо модель реальности.
> Про модель реальности - слишком сильное заявление.
Почему же? Потому что это лишь маленький кусочек модели реальности? Но единой модели реальности нет ни у кого, все используют много маленьких моделек под разные случаи. Или даже не конкретными моделями, а принципами построения моделей под конкретные случаи.
> Про капитуляцию перед неопределённостью - в какой-то степени да.
> Мне не очень интересно, когда найдут очередной 0day, просто уже потому, что
> вопрос звучит как "когда", а не "если".
Не, вопрос звучит "как часто". Ответом на вопрос "когда" будет неопределённость. Может быть эта неопределённость будет выражена распределением вероятности по времени, или ещё чем-нибудь в этом роде, но это будет неопределённость. Но фишка в том, что на вопрос "как часто" найти ответ проще, и этот ответ имеет вполне себе практическую значимость.
Я поясню про эту практическую значимость на всякий случай. Если в браузере нашли 0-day, то это не конец света, это не значит, что на мне лично это как-то скажется. Что мой браузер словит эксплоит и окажется уязвимым ему. Во-первых, я могу не посетить нужную страничку, во-вторых, аддоны могут порезать или модификации в about:config, в-третьих, эксплоит может просто не сработать -- эксплоиты они такие, могут взять и не сработать по каким-нибудь странным причинам, типа того, что у меня браузер не той версией компилятора собран, или версии библиотек не те используются, или процессор не той марки. То есть 0-day не обязательно что-то плохое именно для меня, но есть вероятность, что он окажется плох. И теперь мы приходим к тому, что чем чаще 0-day находят, тем больше шансов мне словить эксплоит который сработает в моей системе. То есть, если строго математически это формулировать, то здесь чтобы говорить о вероятности, надо задать промежуток времени, и всё это будет звучать примерно так: чем выше частота нахождения 0-day, тем выше вероятность получить эксплоит в течение года.
> Проще и правильнее, как мне кажется, принимать превентивные меры, например, запускать браузер
> из под отдельного пользователя, вырезать js и пр. условным umatrix везде,
> где хоть как-то можно и т.п.
Одно другому совершенно не мешает.
> Гадать, найдут новую дыру или не найдут и затронет она меня или
> нет мне не очень интересно.
Зря. Если тебе не безразлично, наличие багов и влияние их на твою жизнь, то имеет смысл попытаться принимать решения учитывая их ожидаемое влияние.
