<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Sep 5, 2013 at 9:56 PM, Richard Bateman <span dir="ltr"><<a href="mailto:richard@batemansr.us" target="_blank">richard@batemansr.us</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Sep 5, 2013, at 13:19 , Benjamin Smedberg <<a href="mailto:benjamin@smedbergs.us">benjamin@smedbergs.us</a>> wrote:<br>

<br>
> Testing has shown that for hidden plugins, almost all users don't have enough context to make an informed choice. If a plugin is visible, they have a much better chance of making an informed choice based on whether the plugin is located in a familiar location and has a recognizable name.<br>

<br>
</div>What if you made the decision based on something like whether or not the plugin had a valid digital signature, at least on windows and mac? Most companies with a valid business case can afford to sign the plugin and probably will anyway, particularly for firebreath plugins that are also COM objects.<br>
<br></blockquote><div><br></div><div>No. Signature certificates/keys can be obtained relatively cheaply or even free these days, so this argument doesn't work.<br><br>More importantly, from a security perspective, this is the wrong idea. A digital signature does exactly what it says on the tin: it confirms that the file in question was created by the person who holds the keys to that signature, id est, it verifies authorship. That in and of itself implies nothing as regards that plugin's security of implementation, necessity for the page the user is on, exploitability, and so on. Using it (by proxy of an implication about financial means) as a crippled way of ensuring security is wrong. Let's not go there.<br>
<br></div><div>~ Gijs<br></div></div><br></div></div>