> В дискуссии на опеннете ссылаться на процесс разработки? С точки зрения опеннета, это детская наивность и безнадёжно теоретическое философствования. Но процесс разработки -- это скорее о long term перспективах проекта.Про long term - да. Про теоретическое философствование - ну я не предлагаю глубокого погружения, очевидно, хотя, при наличии возможностей это плюс.
> Процесс разработки не может изменить ситуацию с багами кардинально.
Ну вообще-то только он и может. Баги делают люди, определяют, какие компоненты будут и как будут сделаны тоже люди.
> Не, я согласен с тем, что учитывать надо как можно больше информации. Но это не бесплатно.
Если не закапываться в хардкорные нюансы, то может быть и не очень дорого. По крайней мере, примерно представлять модель безопасности каждого браузера желательно, как по мне. Сейчас оба идут к сандбоксам и изоляции, но у этих путей разная история, это тоже стоит иметь ввиду.
> Чтобы учесть всю доступную информацию по firefox'у и по chrome'у, чтобы сравнить их, потребуется нанять нескольких человек (или несколько десятков?)
> Помножаем разницу в вероятностях на потери, сравниваем с затратами на исследование, и задаём вопрос: стоит ли оно того?
Всё верно. Не стоит. Поэтому я считаю, что можно достаточно свободно выбирать между chrome и ff не чрезмерно сильно уделяя внимание всем нюансам. Проще сразу не доверять браузеру и запускать его в изолированном окружении, для важных данных использовать отдельный инстанс браузера из под другого пользователя или в контейнере, или даже другой браузер. В общем, работать над тем, чтобы компрометация браузера не принесла лично тебе непоправимых проблем.
> Понятно, что между столь тщательным исследованием и полаганием на статистику уязвимостей есть прорва промежуточных вариантов, которые будут дешевле, но дадут меньшее снижение вероятности пострадать от уязвимости. Но и тем не менее, на фоне этого, вариант полагаться на частоты появления уязвимостей -- это неплохой способ справляться с проблемой.
Как по мне - это только иллюзия, что какая-то проблема решается.
Проще смириться с тем, что дыры неизбежны и использовать тот браузер, что удобнее лично тебе.
>> Если я сейчас напишу браузер, у него будет 100% хорошая история уязвимостей, хотя очевидно, что он будет дыряв (на самом деле, он будет убог, да и вообще я не напишу браузер, но это мысленный эксперимент).
> Но firefox не таков, его история тянется назад в начало 90-х
Сложно сказать, плюс это или минус. Так или иначе, имхо, у ff сейчас технический долг связанный с моделью безопасности и изоляцией сайтов.
> Я говорю о именно статистике багов, потому что:
> а) об этом разговор: если ты вернёшься в начало треда, ты увидишь там что он начался именно с этой статистики; придерживаться темы дискуссии -- это правило хорошего тона. То есть я допускаю возможность смены темы и ухода в сторону, но... я не могу это объяснить, у меня есть чувство прекрасного по отношению к дискуссии, и оно мне подсказывает когда и как можно менять тему, а когда нет. Как это чувство работает я пока не понял.
Да, речь о статистике уязвимостей. И о том, стоит ли только из этой статистики делать выводы и принимать решения.
> б) все остальные известные мне факты о mozilla и firefox, кроме статистики, мало говорят о вероятности ещё одного 0-day в ближайший месяц или год. Они скорее про long term предсказания.
Я не возьмусь делать прогнозы. С одной стороны, интуитивно кажется, что лимит на такую редкую вещь, как 0-day rce исчерпан, с другой, если бы я говорил также после 67.0.3, но перед 67.0.4 было бы смешно.
>> Талеба я очень котирую, да. Но всё же, чёрный лебедь - это неизвестное по своей сути событие, а уязвимость - известное.
> А я не про уязвимость, как таковую, а про события меняющие статистические тренды. Вот взяли мы N точек и на основании них написали функцию, предсказывающую эти точки в будущем. Это будет работать, пока этой функции не придёт чёрный лебедь.
Севшая батарейка в часах - не чёрный лебедь, а не учтённое статистикой реальное положение вещей.
Речь о том, что чтобы статистика позволяла нам делать достаточно точные предсказания, надо чтобы модель реальности включала в себя достаточное количество важных для ситуации переменных.
В ситуации с часами это батарейка, с браузерами всё гораздо сложнее, просто засчёт того, что сильно больше переменных. При этом, природа нежелательного события понятна - это та или иная уязвимость, т.е. это не чёрный лебедь. Но учесть всё равно не получится и что-то будет упущено.
> Ну да, но как я говорю, я не вижу что ещё такого легкодоступного можно учесть, чтобы делать предсказания о количестве 0-day на протяжении ближайшего года.
Я не знаю, что мне делать с этим предсказанием. И как оно мне поможет, когда меня всё же взломают.
> А я утверждаю, что кроме как через использование статистической закономерности мы вообще не можем делать никаких выводов о реальности.
Статистика позволяет обобщить знания о реальности, всё так. Но на основании этих данных нельзя сделать предсказания, если нет модели, объясняющую такой статистики ("физический" закон; батарейка в часах; популярность/качество кода/модель безопасности браузера).
> Часы может и остановятся через пару лет, когда сядет батарейка, но пару лет я буду прав относительно своих предсказаний о траектории движения стрелок. А если я пронаблюдаю десяток остановившихся часов, я смогу делать предсказания об остановке стрелок, даже не зная ничего о батарейке.
В принципе всё так, но зачем предпочитать такую форму обратного инжиниринга обобщению для себя других знаний о проекте - мне не понятно.
> Не, про батарейку знать полезнее, но тут мы возвращаемся к вопросу: что мы такого знаем про фф, что может изменить наши предсказания на основании статистики?
1) В ff не только находят меньше уязвимостей, но и он сильно менее популярный.
2) Chrome сделан с мыслью о sandboxинге и выделении отдельного типа процесса под разные задачи. В нём около 6 (кажется), типов процессов, в ff - два. В используемой мной ОС, например, каждый процесс хромого можно наделить только нужными ему привеллегиями. В ff тоже, но так как их всего два, получается, менее результативно, остаётся больше кода, имеющего ненужные ему полномочия.
Для других ОС это в целом тоже справедливо, вероятно, используются другие механизмы ОС для сандбоксинга/изоляции.
3) Chrome гораздо больше исследуется на наличие дыр. В силу своей популярности, так что это отчасти повторение пункта 1.
4) В развитие безопасности chrome инвестируют деньги и человечесские ресурсы. См. про кадры и опыт vs копипаста.
> Твоя модель не говорит о том, каким браузером лучше пользоваться, если безопасность для нас имеет высокий приоритет.
Именно. Я думаю, что принципиальной разницы нет. В обоих случаях нужно изолировать браузеры от важных данных или ещё как либо ограничивать возможность лишиться важного с компрометацией браузера.
> Мой способ принятия решения предлагает то же, что и твой -- всякие там контейнеры, кастомизированные сборки ff и зависимостей, кастомизация в about:config, аддоны режущие скрипты и cross-site запросы. Но помимо этого он предлагает ещё выбрать ff, вместо хрома, потому что в ff меньше багов находят.
А я выбираю ff потому что мне с ним сильно удобнее. И привычнее, наверное.
С точки зрения безопасности мне проще считать, что оба дырявы.
> Может быть, но мне приходится выуживать это "не единственное" из тебя клещами.
Чуть выше привёл 4 примера, как обобщение своих мыслей на этот счёт. Допускаю, что что-то забыл.
> Если их будет ещё штуки три, я возьму паузу на обдумывание
Дело ваше, но я бы не стал. Пока привыкните к хромому, ff уже может успеть нагнать его (например).
> Я скажу ещё раз: мне не столь интересно количество дыр в коде, сколь интересна частота нахождения дыр. Реальная частота нахождения дыр, а не какая-то теоретически возможная.
Частота нахождения дыр может показывать частоту поиска дыр, а не частоту появления дыр. Не вижу смысла закладываться на сорт "безопасности через сокрытие".
>> Это уже схоластика. Я ничего не имею против Джуда Перла и его трудов, но имею против их применимости для решения обсуждаемого вопрса.
> А у нас нет других способов. Ну, то есть, у человека есть нейросетки в голове, но они примерно так и работают, если копнуть поглубже.
Как именно работает мозг всё-таки пока досконально не ясно. Нейросети - сильный шаг вперёд, но очевидно, что до искусственного мозга ещё далеко. Так что я бы относился к этому осторожнее, имхо, последнее слово на счёт того, как работает мозг ещё далеко не сказано.
>> Повторюсь: если мы хотим защититься, считать вероятность возникновения дыры в том или ином браузере не нужно, это чёрная магия и вангование. Нужно защищать то, что тебе важно.
> Да никто же не спорит. Но тут встаёт вопрос: что делать? Как защищать? Выдернуть сетевой шнур?
Главным образом, не класть всё в одну корзину, диверсифицировать риски. Снижать вероятность атаки, снижать вред от гипотетической успешно проведённой атаки.
Исходя из того, что именно и от кого нужно защищать тебе.
> Если мы не будем загонять себя в рамки, когда пытаемся принимать решение, или когда ведём дискуссию в интернете, то мы никогда не придём к сколь-нибудь осмысленному решению.
Не. Я про то, что не нужно принимать решение о браузере загоняя себя в рамки проблем безопастности и статистики уязвимостей. Идеально безопасное прокрустово ложе хуже, чем слегка дырявый браузер, потому что "прокрустово ложе" никто не будет использовать.
> Если честно, я не уверен, что я понимаю, о каких выводах идёт речь. Ты ведь о том, что браузер надо запускать в контейнере, пользоваться аддонами, править about:config на повышение безопасности, так?
В частности. Ну я выбрал примерно такой вариант, да. У кого-то другие требования, он выберет что-то более подходящее себе.
> Или о том, что для повышения безопасности надо выбирать Chrome? Этого ты не говорил вроде, но просто вот эта твоя фраза и настойчивость в споре, как-то не увязывается с тем, что ты говоришь, и заставляет задуматься, что я чего-то упустил.
Я думаю, что chrome, а скорее его обезгугленые форки, стоит держать в уме. Там есть вещи, сделанные хорошо и правильно. На мой взгляд.
Как по мне, ff проигрывают хрому в плане архитектуры, обеспечивающей безопасность (невзирая на статистику), поэтому оглядываться на конкурента есть смысл. Переходить на него не могу рекомендовать, ибо сам не смог без страданий. Но и использовать ff стоит учитывая, что не всё ладно в датском королевстве. Не обманывая себя верой в излишнюю защищённость.
На всякий - это моё ИМХО и попытки обосновать его. Я осознаю, что могу быть не прав. Как по причинам, которые озвучиваешь ты, так и ещё по каким-то.