No es posible lograr la condición de deshabilitar todas las funciones vulnerables.
Las características que se pueden deshabilitar a través de la interfaz de usuario de un navegador no abarcan el conjunto completo de posibles vulnerabilidades.
Considere el manejo de texto. No hay un interruptor para deshabilitar el procesamiento de caracteres Unicode de múltiples bytes, sin embargo, el manejo inadecuado de estos ha sido el vector de una serie de ataques del lado del cliente que incluyen la entrega y ejecución de cargas útiles de explotación. El problema subyacente de analizar flujos de bits y convertirlos en estructuras de datos no se resuelve de forma segura.
También existe lo que parece una suposición en la pregunta de que en alguna parte del software hay una base o núcleo seguro, que la funcionalidad aumenta, que las vulnerabilidades existen solo en la nueva funcionalidad, que lo que tenemos que hacer para mejorar la seguridad Se deshabilita solo la nueva funcionalidad.
Este supuesto es defectuoso. La funcionalidad aumenta, y con la acumulación viene la complejidad y la complejidad viene con nuevos errores, pero no es el caso de que la funcionalidad más antigua y antigua represente algún tipo de ideal de seguridad.
El código más reciente a menudo se escribe con mayor disciplina, madurez y conocimiento del riesgo, y es a menudo en un sentido más seguro.
La funcionalidad más antigua puede haber sido segura durante el tiempo en que fue creada, pero no sobreviviría por un momento contra los atacantes de hoy. El código antiguo a menudo es de una calidad mucho peor que el código más nuevo, sobreviviendo con errores conocidos y vulnerabilidades solo porque reemplazarlo es demasiado desalentador o complejo para contemplarlo de manera realista. Los problemas de seguridad pueden ocultarse cuidadosamente bajo las capas de protecciones previstas, pero aún están presentes, a la espera de un atacante lo suficientemente inteligente como para encontrar un vector a través del cual explotarlos.
En resumen, no hay software no vulnerable. Por supuesto, las personas hablan en blanco y negro y se refieren a algunas características como seguras y otras como inseguras, pero es más preciso recordar en las discusiones sobre seguridad el viejo chiste de correr más rápido que el otro tipo cuando lo persigue un oso.
Los Chromebooks serán "seguros" siempre que sean menos populares y no Windows. Si los Chromebooks fueran la plataforma dominante en el ecosistema, la tasa de descubrimiento de vulnerabilidades aumentaría dramáticamente. Las vulnerabilidades serían de un carácter diferente a las que se encuentran en otras plataformas y, por lo tanto, dado el estado actual del conocimiento, son más difíciles de encontrar que las de otras plataformas, pero aún están allí.
Esta trayectoria no solo es cierta para el software, sino que se puede observar en cualquier ámbito del esfuerzo humano funcional. Hay incentivos para derribar edificios antiguos en Tokio, incluso los sagrados, porque representan un peligro en el contexto de hacer que la ciudad sea más resistente frente a los terremotos. Los automóviles que tienen más de 5 a 7 años son relativamente inseguros en términos de accidentes en comparación con las contrapartes más nuevas.
Al final, no son las vulnerabilidades lo que importa, sino la seguridad. No importa si en un momento determinado en el tiempo un atacante determinado no puede encontrar una debilidad en un lugar en particular en una pieza específica de software. Los ataques se realizan con objetivos en mente, a menudo económicos, y el paisaje es lo suficientemente rico como para que si un enfoque falla, hay docenas de otros que pueden probarse de manera rentable.
El ataque más común del que son víctimas las personas es el phishing, que puede pero no tiene que explotar ninguna pieza de tecnología en particular, más allá de usarla para involucrar a la víctima.
Por lo tanto, un navegador puede no tener una extensión o descubrir vulnerabilidades, pero desde la perspectiva de un usuario no lo hace seguro. La simplicidad y la reducción de la funcionalidad pueden reducir la superficie de ataque y aumentar el costo de apuntar a un usuario en particular, pero no hay una combinación mágica de configuraciones que un usuario pueda modificar para permitirles olvidar la seguridad.
Espero que esa haya sido la pregunta real.