<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Apr 7, 2015 at 5:51 PM, Richard Wang <span dir="ltr"><<a href="mailto:richard@wosign.com" target="_blank">richard@wosign.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><p class="MsoNormal"><span style="font-size:12pt;color:rgb(31,73,125)">Anyone think this problem need to discuss in next F2F meeting?</span></p></div></blockquote><div><br></div><div>There's two parts to this proposal</div><div>1) Browsers should not trust manually installed roots</div><div>2) Browsers should detect local resolver modifications</div><div><br></div><div>To both problems, I'd point you to this FAQ about Chrom[e/ium]'s security model - <a href="http://www.chromium.org/Home/chromium-security/security-faq#TOC-Why-aren-t-physically-local-attacks-in-Chrome-s-threat-model-">http://www.chromium.org/Home/chromium-security/security-faq#TOC-Why-aren-t-physically-local-attacks-in-Chrome-s-threat-model-</a></div><div><br></div><div>That is, if you can manually install a root in Windows, it generally requires administrative access. To install a root in Firefox, you just need user-level access (since the root store is just a file next to Firefox). No browser can reasonably defend against a model in which any mitigations can easily be patched away.</div><div><br></div><div>Similarly, to modify the resolver, you require administrative privilege. If you have that privilege, you can already modify whatever mitigations the browser may have.</div><div><br></div><div>Microsoft's Security team put together a helpful discussion about computer security principles, which they aptly named the "Ten Immutable Laws of Security". You can find them here - <a href="https://technet.microsoft.com/en-us/library/hh278941.aspx">https://technet.microsoft.com/en-us/library/hh278941.aspx</a></div><div><br></div><div>For this problem, Immutable Laws 1, 2, and 6 all apply.</div><div><br></div><div>Hopefully this provides a further understanding about the reasoning when I say that there is no interest from us on this topic. Respecting a device's configuration, even when that configuration might be done by a "hostile administrator", is, to us, working as intended - in that it is the administrator's device to configure as they wish.</div></div></div></div>