Il guaio è che sfortunatamente in realtà non esiste una misura numerica semplice, obiettiva, utile di come "sicuro" un browser sia paragonato a un altro. O, davvero, quanto un singolo software è sicuro rispetto ad un altro in generale.
Vuoi confrontare le vulnerabilità grossolane segnalate e amp; riparato durante un periodo di tempo? Bene, come hanno sottolineato i commentatori, ci sono diversi motivi per cui potresti non voler utilizzare le vulnerabilità totali come misura rappresentativa della sicurezza pratica di un browser. Ciò significa che il confronto di quel numero per un browser con quel numero con un altro è ancora più problematico. (Ad esempio, confrontando il numero di Chrome di vulnerabilità segnalate / riparate con qualsiasi altro browser.)
Bene allora, per quanto riguarda il numero di vulnerabilità sfruttate con successo in natura per un certo periodo di tempo. Beh, questa è forse una misura meno male delle vulnerabilità totali in qualche modo, ma ha ancora problemi sostanziali che la rendono piuttosto viziata come base per il confronto. Il browser A potrebbe avere più vulnerabilità sfruttate rispetto al browser B, ma cosa succederebbe se il Browser A guadagnasse più attenzione da parte di ricercatori, criminali e / o stati nazione che hanno creato exploit per vulnerabilità rispetto al browser B? Il che, a sua volta, potrebbe essere dovuto a un numero qualsiasi di ragioni non correlate alla sicurezza "intrinseca" del browser o alla sua mancanza. (Un esempio reale: è verosimile che una delle ragioni per cui IE ha storicamente attirato più attenzione allo sfruttamento rispetto a Firefox è perché è più pesantemente utilizzato all'interno dei settori aziendali e governativi, che, ovviamente, è il più grande numero di sistemi che sono più attraenti per gli aggressori generalmente lo sono.)
Oppure potresti vedere, per esempio, il numero di exploit zero-day in-the-wild (cioè vulnerabilità che sono state conosciute e sfruttate prima che un fornitore possa emettere una patch) che ha tormentato un browser in un determinato periodo di tempo. Ma quella misura ha problemi simili a quelli appena discussi. E conti gli exploit che hanno permesso la violazione dell'elemento di rendering del sito di un browser, ma non consentono l'uscita dalla sandbox di quel browser?
Oppure potresti guardare ...
Ma penso che tu stia ottenendo il mio punto. Non c'è davvero nessun un numero che cattura realmente la vulnerabilità di un browser a compromettersi bene o consente buoni confronti su tale base. Il che è essenzialmente il tentativo di confrontare le vulnerabilità annunciate.
Quindi, questo significa che semplicemente non possiamo paragonare la sicurezza tra i browser? No, certamente non andrei così lontano. Ci sono punti di confronto che, se più astratti di quelli numerici, sono preziosi. Ad esempio, IMHO the architectural & defense-in-depth gli attributi di alcuni browser offrono loro alcuni significativi vantaggi in termini di sicurezza rispetto ad altri . (Anche se non dobbiamo dimenticare che il modo in cui un browser è configurato e utilizzato è forse un fattore ancora più importante dell'architettura di sicurezza del software.). Ma il confronto diretto tra numeri e numeri può essere piuttosto fuorviante.