"Wir haben da ein ganz besonders gutes, aber hochgradig spezifisches Tool gebaut. Sein Nutzen ist mit Glück bei bestimmten Edge Cases voll hoch, aber leider produziert es halt eher nur Edge Cases oder Nieten. Aber guck, was es alles produziert"

Das ist nicht, wie Security funktioniert.

@bkastl Deine Kritik ist nicht so ganz angebracht: 1) Zu Firefox: alle diese Bugs waren sehr gut, wir haben auch sandbox-escape exploits gesehen. Dass wir die "sec-high" nennen, ist nach gründlicher Analyse passiert. 2) NFS ist ziemlich oft "offen für alle im Netzwerk". Wenn der Angreifer 1 socket aufmachen kann, kann er auch 2 aufmachen.

Was ich sagen will: ich mach seit über 15 Jahren Security. Ich habe die Bugs gesehen. Sie sind wirklich krass.

@monoxyd @bkastl @luca Der Vergleich ist nicht schlecht, aber er hat seine Grenzen.

In der Softwareentwicklung ist es durchaus so, dass man bei tieferliegenden Komponenten (hier der "Content Process") gewisse Absicherungen aus Performancegründen weglässt, wenn die höheren Schichten die entsprechenden Punkte bereits vertrauenswürdig umsetzen. Wenn man diese höheren Schichten für den Test ausknipst, bleibt statt einem schockierten Pikachu halt nur noch "NON? SI! OHHHH!".