<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;"><br><div><div>On Apr 17, 2015, at 6:59 PM, Tony Arcieri <<a href="mailto:bascule@gmail.com">bascule@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Apr 17, 2015 at 4:25 PM, Ron Garret <span dir="ltr"><<a href="mailto:ron@flownet.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=ron@flownet.com&cc=&bcc=&su=&body=','_blank');return false;">ron@flownet.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div style="word-wrap:break-word">Why should anyone trust anyoneís web page?  When was the last time you obtained a software application that was *not* delivered via the web?</div></blockquote><div><br></div><div>There's a big difference between a web page with JavaScript loaded in a browser and a static artifact delivered over the HTTP protocol. Static artifacts downloaded over HTTP by tools like apt-get or yum for example can carry cryptographic signatures that are checked before the artifact is used. In fact this same thing applies to browser extensions like Minilock or Peerio. This means there's a transparent history of these artifacts, and you can verify you got the same version as everyone else.</div><div><br></div><div>The same thing applies to every Smartphone app.</div><div><br></div><div>Short of a line-by-line source code audit each time you load a web page, this isn't possible with the web today.</div></div></div></div></blockquote><div><br></div><div>Itís not quite that bad.  You only have to audit the code once, and then verify that what youíre running is the same as what you audited.  Itís true that there is a real problem here, but itís not quite as bad as you describe.  (And, it is worth noting, it is a political problem, not a technical one.  There is no technical obstacle to defining and implementing a signature verification protocol for web pages.  In fact, you could even implement a secure script loader using SC4.  Hm, thereís an idea :-)</div><div><br></div><blockquote type="cite"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div style="word-wrap:break-word"><span class="">No.  SC4 was designed to support a wide variety of risk postures.  If you donít trust my server, you can run SC4 from a standalone file on your own file system</span></div></blockquote><div><br></div><div>How is this materially any different than "installing an appĒ?</div></div></div></div></blockquote><div><br></div><div>It isnít any different.  Thatís the whole point.  If you want the security of a local app you can have that.  If you want the convenience of a web app at the cost of having to trust the server, you can have that too.</div></div><div><br></div><div>rg</div><div><br></div></body></html>