为什么浏览器有这么多可能的漏洞？

Question

浏览时，我偶尔会收到有关包含“可能损坏我的计算机”的恶意软件的页面的警告。我很困惑，为什么在 2010 年，浏览器仍然存在可能的漏洞并且可以被破解。

我的问题是“为什么？”。我假设这是因为浏览器战争中发生的快速发展未经充分测试，但我不确定。WebKit 肯定会修补 KHTML 中的所有问题，或者 Gecko 会整理出 Netscape 引擎中的缺陷，而 IE 编码人员会整理他们的代码库以消除可能的缺陷？

（有点相关：哪种浏览器最安全？（研究和实践）。）

Answer 1

复杂，复杂，复杂。

现代浏览器支持

• 通过多种协议（http、https、ftp 等）检索数据
• 呈现多种不同的标记语言（纯 html（在多个版本中）、xhtml、带有 css 的 html ...）
• 应远程用户的请求（cookies）存储数据和检索数据
• 两个（或更多！）图灵完整的编程环境来运行外部提供的代码（javascript、java，也许是 flash ...）
• 某种内部选项数据库
• （从broam 有见地的回答中窃取，所以去投票吧）支持插件架构，允许第三方代码访问浏览器内部

并且预计会很快，有巧妙的缓存以使其更快，并有一个富有表现力和强大的界面。

那里有很多东西，它们是大而复杂的软件。

Answer 2

人们没有提到的一个向量：插件。浏览器可能是安全的，但插件可能有很大的漏洞......而且像 Flash 这样无处不在的插件......利用了伙计。