Browsers bestaan uit miljoenen regels programmacode, duizenden JavaScript-functies en allerlei features, maar een groot deel van de features en functies wordt nooit gebruikt, maar kan wel beveiligingsproblemen introduceren. Dat blijkt uit onderzoek van de Universiteit van Illinois.

Zo bleek dat meer dan 50% van de JavaScript-features die browsers bieden nooit door de 10.000 populairste websites op internet wordt gebruikt. Een ander voorbeeld is de Web Audio api (programmeerinterface). Deze wordt nauwelijks door website gebruikt, maar stelt gebruikers wel bloot aan kwetsbaarheden. De onderzoekers ontdekten dat minder dan 2% van de websites van Web Audio gebruikmaakt. Maar de aanwezigheid van Web Audio heeft in Firefox de afgelopen drie jaar voor minstens 10 beveiligingslekken gezorgd.

De onderzoekers keken ook hoe populaire advertentie- en trackingblockers, zoals Adblock Plus en Ghostery, de features van websites blokkeren. Zo blijkt dat ongeveer 10% van de features op populaire websites buitengewoon vaak wordt geblokkeerd door deze extensies. Wanneer gebruikers deze extensies gebruiken worden ook vier standaarden niet meer op het web gebruikt, van de vijftien standaarden die in de browser beschikbaar zijn.

"De aanwezigheid van een grote hoeveelheid ongebruikte functionaliteit in de browser lijkt tegenstrijdig met het veiligheidsprincipe van zo min mogelijk rechten, of het alleen geven van de mogelijkheden die een applicatie nodig heeft om zijn bedoelde taak uit te voeren, en niet meer. Dit principe bestaat om het aanvalsoppervlak te verkleinen en onvoorziene beveiligingsrisico's, afkomstig van onverwachte en onbedoelde samenstellingen van features, te beperken", aldus de onderzoekers.

Aan de andere kant prijzen ze de open webstandaarden, die het voor gebruikers mogelijk maken om ongewenste functies en features op websites te blokkeren. "Nu de rol van de browser en het web blijft groeien, zal de mogelijkheid van gebruikers om hun ervaring aan te passen een belangrijke rol in het succes van het web spelen."