<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Dec 9, 2015 at 2:44 AM, Ben Bucksch <span dir="ltr"><<a href="mailto:ben.bucksch@beonex.com" target="_blank">ben.bucksch@beonex.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Mihovil Stanić wrote on 09.12.2015 09:04:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
If remote servers are disabled by default and java script disabled in email, how big threat are those vurnabilities?<br>
</blockquote>
<br></span>
No JavaScript stops 90% of the holes. But not all of them. Some are in lower level libraries.<span class="HOEnZb"><font color="#888888"></font></span><br></blockquote></div><br></div><div class="gmail_extra">Right. If you eliminate 90% of the holes, it's probably possible to handle the remaining 10% on your own (through a combination of porting any relevant security fixes from Gecko, plus handling any security bugs found in Postbox itself). Of course, this means that you lose the benefit of having Firefox play the role of a giant target for hackers that you can use to stress-test all the code. However, I can't say for sure if that benefit outweighs the regular introduction of new vulnerabilities due to Gecko patches constantly landing; I'd have to guess that many of the new vulnerabilities are in new code that simply hasn't had as much time to get all the bugs removed.<br><br></div><div class="gmail_extra">- Jim<br></div></div>