<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Feb 11, 2015 at 9:49 AM, Nico Williams <span dir="ltr"><<a href="mailto:nico@cryptonector.com" target="_blank">nico@cryptonector.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">In particular, ACLs can be audited, while auditing capability tokens<br>
requires looking at running state of entire systems.  One of these is<br>
not practical!<br></blockquote><div><br></div><div>This isn't true at all. You are making it sound like it's impossible to know who has a given capability because you're imaging some strawman system that has no confinement or revocation abilities.</div><div><br></div><div>I again invite you to read Capability Myths Demolished:</div><div><br></div><div><a href="http://zesty.ca/capmyths/usenix.pdf">http://zesty.ca/capmyths/usenix.pdf</a><br></div></div>
</div></div>