<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 16, 2015 at 9:09 PM, Bill Frantz <span dir="ltr"><<a href="mailto:frantz@pwpconsult.com" target="_blank">frantz@pwpconsult.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 2/16/15 at 5:45 PM, <a href="mailto:phill@hallambaker.com" target="_blank">phill@hallambaker.com</a> (Phillip Hallam-Baker) wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Another part though would be to change the way applications are installed.<br>
The default should be that an application runs in a separate partition and<br>
does not see the shared file system or the general network. Least privilege<br>
is your friend.<br>
</blockquote>
<br></span>
We have plash and Polaris as worked examples for IX systems and Windows. In one case, a development version of Polaris was installed on a user's system and he didn't even notice until informed somewhat later.<span class=""><br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
What we need is a Steve Jobs who cares about security. It is quite possible<br>
to implement secure systems that have Apple quality look and feel.<br>
</blockquote>
<br></span>
Polaris used a power box pattern that looked and behaved identically to the Windows file chooser. The magic is below the user interface if you assume that when a user designates a file, she also intends to grant access to that file. There are many ways to implement such a system.<br></blockquote><div><br></div><div><br></div><div>I think it would be very easy to set up a scheme for program installation where all code has to be signed to run. The permissions are granted to the signer. The first time code runs, the user is asked what set of permissions it should run with. 'Game' would be a standard minimum priv setting that causes the program to run in a sandbox.</div><div><br></div><div>Any attempt at privilege escalation is reported and goes to the signer's reputation.</div><div><br></div><div><br></div><div>This approach would make for a better development environment, everything would automatically run in a custom sandbox.</div><div><br></div><div><br></div><div>The US is currently working up to spending tens of billions in 'cyber-defense' that does not include any defense at all. A fire department has to know how buildings burn but that does not mean they have to devote 99% of their budget to training arsonists. Burning down buildings in Russia and China is not going to make our buildings any more fireproof.</div><div><br></div></div></div></div>