<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Nov 27, 2015 at 7:34 PM, Greg <span dir="ltr"><<a href="mailto:greg@kinostudios.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=greg@kinostudios.com&cc=&bcc=&su=&body=','_blank');return false;">greg@kinostudios.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">I dedicated about a third of the blog post to Dell and basically called them liars. I hardly think that counts as a “ parenthetical”.<br></blockquote><div><br></div><div>You are literally using it as a pretext to go after Google. Can you point to a single time in the past you've mentioned Dell's involvement in this incident without mentioning Google?</div><div><br></div><div>Firefox has the same behavior for HPKP:</div><div><br></div><div><a href="https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning">https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning</a><br></div><br>"Allow User MITM (pinning not enforced if the trust anchor is a user inserted CA, default)"</div><div class="gmail_quote"><br></div><div class="gmail_quote"><div>Why do you never mention this? Your blog post doesn't mention Firefox once.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<span class=""><br>
> Your threat modeling priorities are, to put it bluntly, pretty fucked up Greg.<br>
<br>
</span>Ditto, Tony!</blockquote><div><br></div><div>Threat: an attacker with local system administrator privileges can override HPKP.</div><div><br></div><div>This is what you're worried about. You are trying to defend against an attacker with local system administrator privileges.</div><div><br></div><div>If your local truststore is compromised, your system is compromised. Your best bets are to reinstall the entire operating system or get a new computer.</div><div><br></div><div>You are worried the door lock is pickable when the house is on fire.</div></div>
</div></div>