<div dir="ltr"><div class="gmail_default" style="font-family:garamond,serif"><br></div><div class="gmail_extra"><br><div class="gmail_quote">2015-02-12 19:38 GMT+01:00 Jerry Leichter <span dir="ltr"><<a href="mailto:leichter@lrw.com" target="_blank">leichter@lrw.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">On Feb 12, 2015, at 3:12 AM, Rob Meijer <<a href="mailto:pibara@gmail.com" target="_blank">pibara@gmail.com</a>> wrote:<br><div><blockquote type="cite"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><span style="font-family:garamond,serif;font-size:12.8000001907349px">The reason Unix uses ACLs is because it was conceived in a time that it was suitable for time sharing systems where the software was trusted but other users could not. The model however is completely useless when as is mostly the case, the users can be trusted but the software they are running can not.</span><span style="font-family:garamond,serif">​...</span></div></div></div></div></blockquote>I doubt this explanation.  The reason Unix (and Windows, and VMS) went with ACL's is that they were a relatively simple extension to what they already had:  Information on the files that defined access for well-defined groups of users. </div></div></blockquote><div><br></div><div><div class="gmail_default" style="font-family:garamond,serif">​ACL' s are not an extension of the UGO system, the UGO system is an example of a trivial and limited ACL system. But anyway, lets not get in a semantics discussion.  My point is that systems like these found their origin in the days of timesharing and the days before malware. A time when having access control at the granularity of groups and users made sense. In that setting, the out of band attribute of resource approach to access control made perfect sense. So now as a result of that legacy, we are still pretty much stuck with a system that has become rather a kludge when trying to solve the  security concerns that arise on systems where the software run by the users is trusted significantly less than the users themselves. In today's thread landscape I would argue,  without the burden of  backward compatibility, the choice for capabilities would have been obvious and non of these systems would have opted for ACL based systems.</div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><span class="HOEnZb"><font color="#888888"><div><br></div></font></span></div></blockquote></div></div></div>