<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Feb 16, 2015 at 1:03 PM, ianG <span dir="ltr"><<a href="mailto:iang@iang.org" target="_blank">iang@iang.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
The browser, or whatever we call the agent that handles the URL, has to be able to defend itself.  No ifs, no buts.</blockquote><div><br></div><div><br></div><div>Do you have a proposal for this?  How exactly a browser should defend against any/all malicious software including software that doesn't exploit a technical vulnerability but the user simply installs because they are fooled into doing so?</div><div><br></div><div>AV?  Nope. Plenty of reasons that won't work.<br></div><div><br></div><div>Crowd-source the info on bad software - doesn't work against one-off attacks.</div><div><br></div><div>Force code signing - doesn't work well when the attackers steal the keys of legit software.  This has happened a few times over the last 3 years. </div><div><br></div><div>Force installs only from "approved sources" - nope.  and you'll get killed by the anti-paladium crowd about how you're taking their freedom away to run whatever software they want to on their machine.</div><div><br></div><div>I'm open to suggestions but hand waving and "someone really ought to do something" is pretty weak sauce -  Especially since this isn't what most people would call phishing (the article got it wrong) and the original point and the quote from Gates was about more traditional phishing that steals users credentials rather than socially engineering users into installing malware. </div></div><div><br></div>-- <br><div class="gmail_signature">Andy Steingruebl<br><a href="mailto:steingra@gmail.com">steingra@gmail.com</a></div>
</div></div>