> Тебе не приходилось читать про теорию игр? Или про её обобщения в виде всяких там теорий принятия решений в неопределённых условиях? Когда ты действуешь исходя из неопределённостей, ты неизбежно будешь ошибаться. От этого никуда уйти не удастся. Но при этом можно ошибаться чаще или реже.

Приходилось. Не понятно, зачем принимать решение в неопределённых условиях, если можно узнать больше информации? В идеале можно даже самому код изучить, опенсорс же, ну правда с учётом сложности и объёма кодовой базы обоих браузеров, это одному человеку нереально.
Собственно, сандбоксы и прочие режимы строгой изоляции - это "капитуляция перед неизвестностью" примерно того же рода, что упомянутый мной запуск браузера из под отдельного пользователя.
Вопрос собственно в том, почему статистику мы должны ставить выше прочих знаний о программе. В то время как статистика уязвимостей - это результат всего того, что происходит с проектом и только. Всего - не только внутреннего устройства и архитектуры, а вообще, всего, в т.ч. популярности программы и социальной ситуации вокруг неё.
Если я сейчас напишу браузер, у него будет 100% хорошая история уязвимостей, хотя очевидно, что он будет дыряв (на самом деле, он будет убог, да и вообще я не напишу браузер, но это мысленный эксперимент).

> Нет, ты хоть что мне говори, но это всё очень похоже на стандартную эпистемологическую панику технаря, который в кои то веки столкнулся с реально сложной проблемой.

Всё может быть. Мне же кажется, что ты пытаешься рационализировать выбор ff в качестве своего браузера. Я сам убеждённый лисолюб (хотя изменял лисе с palemoon, было дело) и хромиуомом и его сортами не могу пользоваться без тазика для рвоты. Но, как мне кажется, я пытаюсь видеть не только хорошие сторны ff, но и недостатки и проблемы. Пользоваться лисой полагая, что она, вероятно, более дырявая мне религия позволяет.

> Возьми того же Нассима Талеба, который со своим Чёрным Лебедем как раз критикует бездумное применение индукции -- он ведь не говорит о том, что от индукции надо отказаться, он говорит о том, что её использовать надо осторожнее.

Талеба я очень котирую, да. Но всё же, чёрный лебедь - это неизвестное по своей сути событие, а уязвимость - известное. Поэтому я не про лебедя. И не про то, что нужно отказываться от индукции. А про то, что сами по себе числа ничего не говорят, их надо трактовать с учётом ситуации в и вокруг проекта. Иначе это просто бесполезные числа.

> если ты придашь "чёрным лебедям" больший приоритет нежели индукции, то ты потеряешь способность вообще здраво принимать решения.

Решения можно принимать не только перебирая возможные события, но и исходя из того, что ты собираешься защищать. И от кого. Мне не важно, как у меня украдут банковские данные, например, мне важно, чтобы этого не произошло.

> Индукция работает на удивление хорошо: если мы видим статистическую закономерность, которая выполняется некоторое время, то скорее всего она будет выполняться ещё некоторое время, мы можем на это полагаться. Да, там есть много граблей, на которые можно наступить, типа подгонки закономерности под данные, недостаточная статистическая значимость, и много-много других, наука имеет огромный опыт хождения по этим граблям

Утверждаю, что на основе одной только статистичейской закономерности нельзя делать однозначный вывод о том, что событие и дальше будет повторяться и на это можно будет полагаться.
Стрелки часов передвигаются снова и снова (отличная статистика), потом садится батарейка и всё заканчивается. Знание о батарейке помогло мне предсказать остановку стрелок, статистика не помогла им двигаться бесконечно.

> Но всё что я вижу на данный момент: неопределённость -- такая неопределённость, и как ни крути, но снизить риск в 0 невозможно. Я _знаю_, что снизить риск в ноль невозможно. Но между нулевым риском и стопроцентным риском, есть континуум промежуточных значений.

Я предлагаю не оценивать риск наступления того или иного события (нахождение критической дыры), а исходить из того, что и от кого мы защищаем. Браузеры _по_умолчанию_ дырявы. Моя модель проще, а результат даёт как минимум такой же.

> А до тех пор, пока я не вижу этого "чёрного лебедя", я предпочитаю принимать решения исходя из того, что его нет.

А его и нет.

>>>> А когда таки случится "невысокая вероятность" и ты всё-таки станешь жертвой 0-day, оная "невысокая вероятность", как по мне, будет слабым утешением.
>>> И чё? Есть какое-то рассуждение, которое исходя из этого соображения приведёт к тому, что я должен выбирать браузер с большей частотой нахождения дыр в нём?
>> Чем больше дыр, тем меньше дыр.
>> Пока я вижу, что ff копирует идеи, связанные с безопасностью из chrome.
>> Например, режим строгой изоляции страниц - https://www.opennet.ru/opennews/art.shtml?num=50106
>> . Chrome был спроектирован с безопасностью в уме, ff приходится переделывать.
> И чё? Да какая мне разница, кто с кого скопировал?

Одни развивают архитектуру в сторону безопасности и ведут исследования, другие копипастят. В одном случае экспертиза, накопление опыта и развитие кадров. Во втором - копипастинг. Грубо говоря.

>> А вообще, рассуждения о том, почему одна лишь статистика уязвимостей в отрыве от других знаний бесполезна, я уже много раз тут писал.
> Из других знаний, которые реально стоит учесть, ты упомянул изоляцию сайтов в Chrome.

Это только пример и отнюдь не единственное, что надо учитывать.

> Да, это вполне валидный аргумент. Но я его предпочитаю игнорировать, потому что это не первое "революционное" изменение в chrome, нацеленное на повышение безопасности. Оно вполне укладывается в тренды постоянного повышения уровня защиты Chrome, и я не вижу как именно это изменение вдруг эти тренды сломает. Оно не выглядит для меня тем самым "чёрным лебедем", который нарушит статистику так, что (допустим) в течение года в хроме найдут меньше дыр чем в ff.

Статистика нахождения дыр в chrome, как по мне, в значительно бОльшей степени связана с его бОльшей популярностью и как следствие бОльшей привлекательностью как цели для атаки.
Для сравнения такой статистики (и не только) сильно желателен паритет в доле инсталляций.

> В ff тоже есть тренды постоянного наращивания защиты.

Да, кое как зачесались. Посмотрим что будет.

> Что может изменить положение дел -- это резкий рост популярности ff, который приведёт к повышению активности поиска дыр в ff. Но это то, чего мы не наблюдаем.

А стоило бы, потому что иначе ff рискует вообще загнуться.

>[оверквотинг удален]
>> времени может говорить как о том, что код пишут сапожники и
>> бездари, так и о том, что проект сложный и его активно
>> исследуют специалисты по ИБ.
>>>>>> Проще и правильнее, как мне кажется, принимать превентивные меры, например, запускать браузер из под отдельного пользователя, вырезать js и пр. условным umatrix везде, где хоть как-то можно и т.п.
>>>>> Одно другому совершенно не мешает.
>>>> И не помогает.
>>> Помогает. Все эти umatrix'ы снижают вероятность пострадать от дыр. Но если у тебя исходно вероятность меньше, то после снижения она будет ещё меньше.
>> Я утверждаю, что адекватно посчитать эту вероятность нельзя. А следовательно и нет
>> смысла.
> Ну, во-первых, можно. Я бы рекомендовал начать с чтения Judea Pearl.

Это уже схоластика. Я ничего не имею против Джуда Перла и его трудов, но имею против их применимости для решения обсуждаемого вопрса.

> Во-вторых, не обязательно считать вероятности. Очень часто их можно сравнить между собой не высчитывая. И очень часто знания того, какая вероятность больше, а какая меньше, достаточно для принятия решения.

Повторюсь: если мы хотим защититься, считать вероятность возникновения дыры в том или ином браузере не нужно, это чёрная магия и вангование. Нужно защищать то, что тебе важно. При помощи статистики мы можем попробовать оценить частоту и пр. ошибок за тот или иной период и попытаться предположить, какие действия участников и пользователей проекта к этому привели. Можем попытаться предположить, что нас ожидает, исходя из корреляции статистики и наших знаний о проекте. Хотя это тоже вангование какой-то степени, но в этом уже случае можно начинать говорить о чёрных лебедях - реально непредсказуемых событиях, которых никто не ждал, не предполагал и не мог измыслить.

> А, в-третьих, что за пораженческие настроения?

Это не пораженчество, это констатация того, что дыры есть и будут, как и прочие ошибки.
В крайнем случае, можно довести до практически полного совершенства какой-то ограниченный и неразвиваемый функционал.

> В век, когда вокруг нас начинают появляться реально сложные устройства, которые реально принимают решения, в том числе и решения основанные на неопределённых данных, говорить о том, что эта задача практически неразрешима, это примерно то же самое, что в начале XX века говорить о том, что железо не может заниматься арифметикой.

Достижение в том, что сложные устройства могут сами принимать решения, а не в том, что они принимают всегда правильные решения. Задача выбора из двух стуль^W браузеров одного единственно верного неразрешима, даже если ограничиться только одним критерием - безопасностью.
Как по мне, просто не нужно загонять себя в рамки такой постановки вопроса и решать непосредственно свои проблемы.

>> Проще исходить из того, что браузер ненадёжен и строить модель угроз исходя из этого, а не гадать на кофейной гуще.
> В третий раз скажу тебе: одно другому не мешает. Я именно что рассматриваю браузер как нечто ненадёжное. Но это не мешает мне сравнивать ненадёжности разных браузеров, и выбирать браузер с учётом результатов этого сравнения.

Я тоже сравниваю ненадёжность браузеров, и тоже делаю выводы. Но опираюсь не только на статистику, а ещё на знания об архитектуре проектов, про их сообщества и аудиторию.

> umatrix не является панацеей и от всех угроз не спасёт.

Это очевидно. Это просто пример.