<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Aug 31, 2014, at 2:09 AM, Nick Coghlan <<a href="mailto:ncoghlan@gmail.com" class="">ncoghlan@gmail.com</a>> wrote:</div><div class=""><br class="">At the same time, we need to account for the fact that most existing<br class="">organisations still trust in perimeter defence for their internal<br class="">network security, and hence tolerate (or even actively encourage) the<br class="">use of unsecured connections, or skipping certificate validation,<br class="">internally. This is actually a really terrible idea, but it's still<br class="">incredibly common due to the general failure of the technology<br class="">industry to take usability issues seriously when we design security<br class="">systems (at least until recently) - doing the wrong "unsafe" thing is<br class="">genuinely easier than doing things right.<br class=""><br class=""></div></blockquote></div><div class=""><br class=""></div><div class=""><div class="">Just a quick clarification in order to be a little clearer, this change will</div><div class="">(obviously) only effect those who trust perimeter security *and* decided to</div><div class="">install an invalid certificate instead of just using HTTP. I'm not saying that</div><div class="">this doesn't happen, just being specific (I'm not actually sure why they would</div><div class="">install a TLS certificate at all if they are trusting perimeter security, but</div><div class="">I'm sure folks do).</div></div><br class=""><div apple-content-edited="true" class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div class="">---</div><div class="">Donald Stufft</div><div class="">PGP: 7C6B 7C5D 5E2B 6356 A926 F04F 6E3C BCE9 3372 DCFA</div></div></div>
</div>
<br class=""></body></html>