Re: [SIGNATUR] Re: ATP's anvendelse af digital signatur...

[Egon Andersen <sslug@sslug>]

Troels Arvin wrote:
> On Fri, 25 Feb 2005 22:59:57 +0100, Egon Andersen wrote:
>
> > Hvis man ikke kender appletten, hvordan kan man så vide, at den ikke
> > overfører den private nøgle til fx. ATP?
>
>
> Jeg deler din bekymring, men må lige påpege, at du på samme måde er
> nødt til at have tillid til din webbrowser. Godtnok er den sikkert open
> source, osv., men jeg tvivler på, at du tager dig tiden til at tygge
> browserens kode igennem.
>
> Dit argument holder dog stadig på sin vis: Én ting er, at man ved normal
> signatur-baseret login skal stole på sin browser. Men i ATPs løsning
> skal man stole på både browser og så en meget anonym og closed source
> applet.

Jeg vil sige, at der er den store forskel at jeg har valgt min browser 
og kunne have valgt en anden, hvis jeg ikke stoler på den.

Derimod er java-appletten ikke et egentligt frit valg jeg har fået, men 
noget min modpart har leveret til mig, som jeg skal bruge for at 
kommunikere med vedkommende.
Der er fuldstændig på modparten præmisser og modparten kan have ufine 
interesser, uden jeg reelt har nogen chance for at vide det, medmindre 
jeg er istand til at finkæmme appletten.

Så derved er der en ikke uvæsentlig forskel på om det er min browser jeg 
skal have tillid til eller det er alle mulige små stykker software nogle 
tilfældige personer/virksomheder kræver anvendt i kommunikationen.

Med venlig hilsen
Egon Andersen

--
A: Because it messes up the order in which people normally read text.
Q: Why is top-posting such a bad thing?
A: Top-posting.
Q: What is the most annoying thing on usenet and in e-mail?