> Любая модель некорректна. По определению. Любая модель начинается с того, что большая часть реальности тупо игнорируется. Когда я оцениваю безопасность того или иного браузера, я не учитываю фазу луны или изменение численности алтайских тигров.

Не связанные части реальности и не должны учитываться моделью. Тигры никак не могут повлиять на число дыр в проекте. Разве что сожрут всех разработчиков, но я предлагаю не впадать в глупые крайности.
Тем не менее, учитывать надо максимум того, что можно учитывать.

> Что из этого имеет отношение к firefox или к chrome? То есть, я абсолютно согласен с тем, что надо учитывать все возможные влияющие факты. Но я не вижу никаких таких фактов относящихся к ff или chrome.

Пример был больше абстрактный. Но например, вот в хроме внедряют изоляюцию между сайтами, путём запихивания обработки каждого в отдельный процесс. Потенциально это может положительно сказаться на безопасности и снизить вероятность ущерба от некоторых атак.
Как по мне, куда важнее учитывать подобные внедрения, а не статистику.

>> Ну и что? Искать надо не там, где светло, а там, куда указывает контекст ситуации.
> Мечты-мечты. Там где темно ты ничего не найдёшь. Вся наука построена на измерении, если измерение произвести невозможно, то не будет и науки.

Безопасность, к сожалению, нельзя измерить, или, по крайней мере, нельзя измерить просто.
Мерять количество дыр за единицу времени можно, или какие-то ещё метрики считать, но смысл в этом есть только если тебе надо нетривиально выпендриться перед не очень умным начальством.

> Да, мы моделируем пояеление уязвимостей игральной костью, потому что мы не в состоянии промоделировать эти процессы во всех их сложности. Движение молекул газа вполне детерминировано, но термодинамика моделироует это движение игральной костью, и это позволяет перейти от микропараметров, типа положения и скорости движения молекул к макропараметрам, типа давления, объёма и температуры, и даже получить вполне детерминированные законы термодинамики. Это только в ООП есть непреложное правило, что модель реальности должна иметь ту же структуру, что и реальность, но даже там игральная кость используется налево и направо, чтобы промоделировать те части реальности, которые не удаётся промоделировать правильно.

Законы термодинамики - это констатация неизменяемого положения вещей. Нет, понятно, например, что давление зависит от температуры и т.п., но тут есть именно что явные закономерности, из которых можно вывести закон. И можно провести эксперименты, подтверждающими эти законы. Собственно, эти законы являются законами именно потому, что подтверждаются экспериментами. А не наоборот.
В случае с уязвимостями в программах у нас нет такого закона, и нет в первую очередь "в природе", а не в науке. Нет закономерностей. Примеры приводил в прошлом сообщении. С молекулами газа не бывает таких внезапностей, которые случаются с программой (детищем несовершенных и допускающих ошибки людей). Газ - это "физика", разработка ПО - социальный процесс (в числе прочего). Законы физики наблюдаются сами по себе, социальные законы выдумываются людьми для обслуживания своих интересов и хотелок. От последнего зависит востребованность ПО, со всеми очевидными последствиями. С молекулами газа такое не получится.

>> Прекращение финансирования исследователей безопасности/падение популярности продукта может сильно повлиять и на число уязвимостей продукта, и на число внезапно обнаруженных дыр.
> Как это повлияет в данном конкретном случае? Если ты критикуешь модель посредством указания на то, что она игнорирует какие-то существенные части реальности, то тебе необходимо показать, почему они существенны _при данном применении модели_.

Ну. В том же хроме много чего находят, потому что больше исследуют. В ff меньше, и исследований меньше. Сложность проектов сравнимая. Стоит ли закладываться на то, что никто не захочет вдруг поискать и найти? И что он не преуспеет?

>> Да и не понятно, с какого дня начинать год отсчитывать.
> С любого. С какого тебе удобнее. На мой взгляд удобнее всего отсчитывать от сегодня. Во-всяком случае, если я сегодня пытаюсь принять решение о том, оставаться ли мне на ff или переходить на другой браузер, то грядущий рисковый период начинается сегодня.

Ну я вот пробовал тут недавно перейти на iridium, и до конца ещё не отказался от этой идеи. Но пока на ff обратно всецело откатился. Строгая изоляция сайтов - это хорошо, подумал я, но в конце концов лиса менее популярна и дыры там находят реже. Да и изоляцию сайтов тоже пилят вроде бы уже.
Ага.
Ну и как, помогла мне твоя статистика уязвимостей за прошлый год? Не далее как сейчас 2 0-day подряд. А то, что лично меня не взломали - так это зависит ещё от кучи факторов, а не только от наличия уязвимостей. Например, ещё от того, как оперативно вышли исправления. Или от того, кто нашёл дыру - какиры или исследователи условного гугла.

>> А когда таки случится "невысокая вероятность" и ты всё-таки станешь жертвой 0-day, оная "невысокая вероятность", как по мне, будет слабым утешением.
> И чё? Есть какое-то рассуждение, которое исходя из этого соображения приведёт к тому, что я должен выбирать браузер с большей частотой нахождения дыр в нём?

Чем больше дыр, тем меньше дыр.
Пока я вижу, что ff копирует идеи, связанные с безопасностью из chrome. Например, режим строгой изоляции страниц - https://www.opennet.ru/opennews/art.shtml?num=50106 . Chrome был спроектирован с безопасностью в уме, ff приходится переделывать.
А вообще, рассуждения о том, почему одна лишь статистика уязвимостей в отрыве от других знаний бесполезна, я уже много раз тут писал.
Потому что в зависимости от обстоятельств, большое количество найденных дыр в единицу времени может говорить как о том, что код пишут сапожники и бездари, так и о том, что проект сложный и его активно исследуют специалисты по ИБ.

>>>> Проще и правильнее, как мне кажется, принимать превентивные меры, например, запускать браузер из под отдельного пользователя, вырезать js и пр. условным umatrix везде, где хоть как-то можно и т.п.
>>> Одно другому совершенно не мешает.
>> И не помогает.
> Помогает. Все эти umatrix'ы снижают вероятность пострадать от дыр. Но если у тебя исходно вероятность меньше, то после снижения она будет ещё меньше.

Я утверждаю, что адекватно посчитать эту вероятность нельзя. А следовательно и нет смысла.
Проще исходить из того, что браузер ненадёжен и строить модель угроз исходя из этого, а не гадать на кофейной гуще.