<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html><head><meta content="text/html;charset=UTF-8" http-equiv="Content-Type"></head><body ><div style='font-size:10pt;font-family:Verdana,Arial,Helvetica,sans-serif;'>Hi Sandro,<br><br>> I've nothing against code-signing, but I think the user needs to be able to decide who to trust.<br>The problem is that users (everyone actually) are fundamentally incapable of reliably deciding who they can and should trust. The entire Spam, Phishing, SpearPhishing, and Malware industries are predicated on this basic fact. Humans have millenia of evolution working against them in the form of various cognitive biases that any capable attacker can easily exploit to produce "trust". Even more technically savvy users are still susceptible to a sufficiently advanced attack.<br><br>That said, I don't know what the solution is, but I do know that relying on user awareness is a recipe for the botnet filled internet we have today.<br><br>Cheers,<br>Jonathan<br><br><br><br><div class="zmail_extra"><div id="1"><br>---- On Wed, 20 Apr 2016 11:54:25 +0100 <b>Sandro Santilli<strk@keybit.net></b> wrote ---- <br></div><blockquote style="border-left: 1px solid #0000FF; padding-left: 6px; margin:0 0 0 5px">On Wed, Apr 20, 2016 at 04:39:03AM -0600, Larry Shaffer wrote:<br>> Hi,<br>> <br>> If the OSGeo is considering taking the following stances...<br><br>Larry, it looks like you misunderstood my stances completely.<br><br>> * referring to the industry standard practice of code-signing, which<br>> protects the user from anyone tampering with software they are installing<br>> or have installed, as something that needs a workaround;<br><br>I've nothing against code-signing, but I think the user needs to be<br>able to decide who to trust.<br><br>> * that the default security practices and implementations on major OSes is<br>> somehow evil to their users, and that the users need protected from such<br>> losses of freedom;<br><br>It is evil if an OS enforces what's good or bad to a user.<br>Not evil if the user decides who to trust.<br><br>> * that the OSGeo needs to train users on how to circumvent these default<br>> security protections;<br><br>OSGeo needs to train users on how to tell their OS to trust OSGeo,<br><br>> then an anti-reality warp is in effect, which will only hurt users who<br>> actually just want to use the open-source software.<br><br>Users that just want to use open-source software should be able to<br>do so w/out their OS fighting against that. If any OS is fighting,<br>OS advocates should fight back.<br><br>--strk;<br>_______________________________________________<br>Qgis-psc mailing list<br><a subj="" mailid="Qgis-psc%40lists.osgeo.org" href="mailto:Qgis-psc@lists.osgeo.org" target="_blank">Qgis-psc@lists.osgeo.org</a><br><a href="http://lists.osgeo.org/mailman/listinfo/qgis-psc" target="_blank">http://lists.osgeo.org/mailman/listinfo/qgis-psc</a></blockquote><br></div><br></div></body></html>