<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Jun 3, 2014 at 1:57 PM, Jerry Leichter <span dir="ltr"><<a href="mailto:leichter@lrw.com" target="_blank">leichter@lrw.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">...<br>
<br>
But that's all just whistling into a hurricane.  The economics say "use the free code, ship first and worry about security later" - the long, all-too-familiar list of reasons not to do the right thing.<br>
<span class="HOEnZb"><font color="#888888"><br>          </font></span></blockquote><div><br></div><div>Show me *one* company that does the right thing, security-wise, and is profitable.</div><div><br></div><div>It took a major attack (allegedly) by the Chinese for Google to start taking security seriously. It took them a major attack from the NSA to finally turn on mandatory encryption in internal RPCs. <br>
<br>It makes sense in another perverse sort of way: so long as users are susceptible to social engineering (the world's oldest profession),  there will always be far easier ways for criminals to victimize users than to break the crypto. So why bother fixing the crypto? It's not the most pressing problem.</div>
<div><br></div><div> Frankly, I'd rather see big companies spend resources on how to train their users NOT to believe scammers (they seem to be doing the opposite by telling you to turn off various security features so you can install their applications) than fixing bugs in openssl or gnutls. Google does this with cert-pinning in Chrome, and warnings on suspicious email messages, but that's a drop in the security bucket.</div>
<div><br></div><div>/ji</div><div><br></div><div>PS: I'm scrupulously avoiding having anything to do with security in my current job, so don't ask me how Twitter does in that respect :)</div></div></div></div>