Non è possibile raggiungere la condizione di disabilitare tutte le funzionalità vulnerabili.
Le funzionalità che possono essere disabilitate tramite l'interfaccia utente di un browser non comprendono nulla in prossimità del set completo di potenziali vulnerabilità.
Considera la gestione del testo. Non c'è alcun passaggio per disabilitare l'elaborazione di caratteri Unicode multi-byte, ma una gestione impropria di questi è stato il vettore di una serie di attacchi lato client che coinvolgono consegna ed esecuzione di payload di exploit. Il problema di fondo di analizzare flussi di bit e trasformarli in strutture di dati non è risolto in modo sicuro.
C'è anche quello che sembra una supposizione nella domanda che da qualche parte in un software c'è una base o un nucleo sicuro, che la funzionalità accresce, che le vulnerabilità esistono solo in nuove funzionalità, che cosa dobbiamo fare per migliorare la sicurezza è disabilitare solo la nuova funzionalità.
Questa ipotesi è errata. La funzionalità si accresce e con l'accrescimento arriva la complessità e con la complessità arrivano nuovi bug, ma non è il caso che le funzionalità più semplici e precedenti rappresentino una sorta di ideale di sicurezza.
Il codice più recente viene scritto molto spesso con maggiore disciplina e maturità e consapevolezza del rischio, ed è spesso in un senso più assoluto.
Le funzionalità precedenti potrebbero essere state protette per il periodo in cui è stata creata, ma non sopravviverebbero per un momento contro gli hacker di oggi. Il codice più vecchio è spesso di qualità peggiore del codice più recente, sopravvive con bug e vulnerabilità noti solo perché la sua sostituzione è troppo scoraggiante o complessa da contemplare realisticamente. I problemi di sicurezza possono essere accuratamente nascosti sotto strati di protezioni previste, ma sono ancora presenti, in attesa di un aggressore abbastanza intelligente da trovare un vettore attraverso il quale sfruttarli.
In breve, non esiste un software non vulnerabile. Ovviamente le persone parlano in termini in bianco e nero e si riferiscono ad alcune caratteristiche sicure e ad altre meno sicure, ma è più accurato ricordare nelle discussioni sulla sicurezza il vecchio scherzo di correre più velocemente dell'altro quando viene inseguito da un orso.
I Chromebook saranno "sicuri" a patto che siano meno popolari e non Windows. Se i Chromebook fossero la piattaforma dominante nell'ecosistema, il tasso di scoperta delle vulnerabilità aumenterebbe notevolmente. Le vulnerabilità sarebbero diverse nel carattere rispetto a quelle che si trovano su altre piattaforme e, dato lo stato attuale delle conoscenze, sono più difficili da trovare rispetto a quelle su altre piattaforme, ma sono ancora presenti.
Questa traiettoria non è solo vera per il software, può essere osservata in qualsiasi ambito dello sforzo umano funzionale. Ci sono incentivi per abbattere vecchi edifici a Tokyo, anche quelli sacri, perché rappresentano un pericolo nel contesto di rendere la città più resistente ai terremoti. Le auto che hanno più di 5-7 anni sono relativamente poco sicure negli incidenti rispetto alle più recenti controparti.
Alla fine, non sono le vulnerabilità che contano, ma la sicurezza. Non importa se in un dato momento un determinato attaccante non riesce a trovare un punto debole in un punto particolare in un particolare software. Gli attacchi sono condotti con gli obiettivi in mente, spesso economici, e il panorama è abbastanza ricco che se un approccio fallisce ci sono dozzine di altri che possono essere provati con profitto.
L'attacco più comune a cui le persone cadono vittima è il phishing, che può ma non deve sfruttare alcuna particolare tecnologia, oltre a usarlo per coinvolgere la vittima.
Quindi un browser potrebbe non avere un'estensione o scoprire vulnerabilità ma dal punto di vista dell'utente che non lo rende sicuro. La semplicità e la riduzione delle funzionalità possono ridurre la superficie di attacco e aumentare il costo del targeting di un particolare utente, ma non esiste una combinazione magica di impostazioni che un utente possa modificare per consentire loro di dimenticare la sicurezza.
Spero che questa sia stata la vera domanda.