> Эта вероятность есть и для популярного браузера, но там ищут интенсивнее, чаще находят (при равном количестве багов в коде) и значит чаще оказывается, что есть известные лишь некоторым баги, которые эксплуатируются.Да. Но как мне кажется, это как раз история про то, что популярные проукты всегда в бОльшей степени под прицелом, а не про то, больше или меньше там дыр.
>> Про модель реальности - слишком сильное заявление.
> Почему же? Потому что это лишь маленький кусочек модели реальности?
И поэтому тоже, но в бОльшей степени потому что модель реальности на основе только лишь статистики о прошлых уязвимостях, в контексте прогнозирования проблем в будущем как минимум не полна, а, возможно, и вообще некорректна. Нужно учитывать кучу других факторов, связанных с развитием конкретного проекта. Например, если программа уже не развивается, а только поддерживается, новый функционал не добавляется, только багфиксы и исправления уязвимостей. Даже если раньше в ней находили много (и часто) дыр, совершенно не факт, что тендеция сохранится. Или, например, сменился разработчик/коллектив разработчиков программы и, в отличие от старого, новые - более "продвинутые в безопасности" люди. Ну или наоборот - в обоих вариантах мы попадаем в ситуацию, когда обобщённый прошлый опыт не помогает нам предсказать будущее. На мой взгляд, статистика и не для этого.
>> Про капитуляцию перед неопределённостью - в какой-то степени да.
>> Мне не очень интересно, когда найдут очередной 0day, просто уже потому, что вопрос звучит как "когда", а не "если".
> Не, вопрос звучит "как часто".
Про статистику см. выше.
> Ответом на вопрос "когда" будет неопределённость.
Тут главное не "когда именно", а то, что "когда", а не "если", т.е. варианта что "события не случится (= уязвимость не найдут)" нет. Это, конечно, некоторое преувеличение и, опять же, всё во многом зависит от ситуации в конкретном проекте; суть - в любом развивающемся сложном проекте рано или поздно найдут дыры, а если и не найдут, то они почти наверняка есть.
> Но фишка в том, что на вопрос "как часто" найти ответ проще
Ну и что? Искать надо не там, где светло, а там, куда указывает контекст ситуации.
> и этот ответ имеет вполне себе практическую значимость.
Только вместе с какими-то другими знаниями о проекте, без них это гадание на кофейной гуще.
> Я поясню про эту практическую значимость на всякий случай. <и далее по тексту до следующего цитирования>
С этим согласен.
> чем выше частота нахождения 0-day, тем выше вероятность получить эксплоит в течение года.
Число (и частота нахождения) уязвимостей - это не результат бросания игральной кости, а результат работы каких-либо людей и не?налаженных процессов. Прекращение финансирования исследователей безопасности/падение популярности продукта может сильно повлиять и на число уязвимостей продукта, и на число внезапно обнаруженных дыр.
Да и не понятно, с какого дня начинать год отсчитывать.
А когда таки случится "невысокая вероятность" и ты всё-таки станешь жертвой 0-day, оная "невысокая вероятность", как по мне, будет слабым утешением.
Мне кажется, проще исходить из того, что твой браузер заведомо имеет нераскрытые дыры и готовиться к плохому сценарию.
>> Проще и правильнее, как мне кажется, принимать превентивные меры, например, запускать браузер из под отдельного пользователя, вырезать js и пр. условным umatrix везде, где хоть как-то можно и т.п.
> Одно другому совершенно не мешает.
И не помогает. Повторюсь, считаю, что стастика о уязвимостях имеет смысл только вместе с другими знаниями о том, что происходит с проектом.
>> Гадать, найдут новую дыру или не найдут и затронет она меня или нет мне не очень интересно.
> Зря. Если тебе не безразлично, наличие багов и влияние их на твою жизнь, то имеет смысл попытаться принимать решения учитывая их ожидаемое влияние.
Повторюсь, считаю, что надёжнее не гадать, а сразу исходить из того, что браузер потенциально(ли?) дыряв. Современный веб слишком сложен.