El problema es que, lamentablemente, realmente no existe una medida numérica sencilla, objetiva y útil de cómo un navegador "seguro" se compara con otro. O, realmente, qué tan seguro se compara una pieza de software con otra en general.
¿Quieres comparar las vulnerabilidades graves informadas & ¿Fijado durante algún período de tiempo? Bueno, como los comentaristas señalaron, hay varias razones por las que quizás no quiera usar vulnerabilidades totales como medida representativa de la seguridad práctica de un navegador. Lo que significa que comparar ese número para un navegador con ese número para otro es aún más problemático. (Por ejemplo, comparando el número de vulnerabilidades reportadas / fijas de Chrome con cualquier otro navegador).
Bien, entonces, ¿qué pasa con el número de vulnerabilidades que se han explotado con éxito en la naturaleza durante un período de tiempo? Bueno, tal vez sea una medida menos mala que las vulnerabilidades totales de alguna manera, pero todavía tiene problemas sustanciales que la hacen bastante defectuosa como base de comparación. El navegador A puede tener más vulnerabilidades explotadas que el navegador B, pero ¿y si eso se debe a que el navegador A obtuvo más atención de parte de los investigadores de seguridad, los delincuentes y los estados nacionales que crearon vulnerabilidades para las vulnerabilidades que el navegador B? Lo que, a su vez, podría deberse a una serie de razones no relacionadas con la seguridad "inherente" de un navegador o su falta. (Un ejemplo del mundo real: es probable que una de las razones por las que IE históricamente ha atraído más la atención de la explotación que Firefox es porque se usa más en los sectores corporativos y gubernamentales, que, por supuesto, es donde está la mayor cantidad de sistemas que son más atractivos para los atacantes generalmente son.)
O puede observar, digamos, el número de ataques en el día cero (es decir, vulnerabilidades que se conocieron y explotaron antes de que un proveedor pudiera emitir un parche) que afectó a un navegador durante un determinado período de tiempo. Pero esa medida tiene problemas similares a los que acabamos de discutir. ¿Y cuenta las vulnerabilidades que permitieron la violación del elemento de representación del sitio de un navegador pero no permiten escapar de la caja de arena de ese navegador?
O podrías mirar ...
Pero creo que estás entendiendo mi punto. Realmente no hay ningún un número que realmente capture la susceptibilidad de un navegador para comprometerse bien o permitir buenas comparaciones sobre esa base. Lo que es esencialmente a lo que se intenta llegar es un esfuerzo por comparar las vulnerabilidades anunciadas.
Entonces, ¿eso significa que simplemente no podemos comparar la seguridad entre los navegadores? No, ciertamente no iría tan lejos. Hay puntos de comparación que, si son más abstractas que las medidas numéricas, son valiosas. Por ejemplo, en mi humilde opinión la arquitectura & defense-en-profundidad los atributos de algunos navegadores les dan algunas ventajas significativas en seguridad sobre otros . (Aunque no debemos olvidar que la forma en que se configura y usa un navegador es quizás un factor aún más importante que la arquitectura de seguridad del software). Pero las comparaciones de números rectos frente a números pueden ser bastante engañosas.