<div dir="ltr">Michal, I think you give fantastic counter-points with regard to liability and doing everything possible to prevent incidents. My gut tells me it is foolish to rely on third parties for your own security, and that extends to software you purchase and run. To extend stupid physical world analogies, think of a modern warrior -- though firearms are relatively simple mechanical devices, even the best engineered ones fail, and any good operator does not solely rely on just a firearm for their defense. Gear fails. Software is gear. Good defense requires good gear, good planning, good training, and good execution. The latter three anticipate gear failures. The quality and maturity of planning, training and execution is what sets apart good defenders from the rest -- not the gear. Yes, spend your money wisely on the gear that serves your needs, but you can&#39;t expect that it won&#39;t fail.<div><br></div><div>Liability law and insurance just push the impact of failure around, but someone always pays for it, and that is almost always the consumer.</div><div><br></div><div>Dom</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Sep 10, 2014 at 8:10 AM, Michal Zalewski <span dir="ltr">&lt;<a href="mailto:lcamtuf@coredump.cx" target="_blank">lcamtuf@coredump.cx</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">&gt; You want to know what would work? Holding software producers legally liable<br>
&gt; for their software bugs, because only if they have consequences for their<br>
&gt; actions will they ever start taking things seriously!<br>
<br>
</span>It&#39;s a fairly persistent argument, but there is also a range of<br>
counterpoints. Perhaps most importantly, liability for damages puts<br>
the open source community and small, emerging companies at a distinct<br>
disadvantage, whereas large businesses would be likely to just factor<br>
it in as a cost of doing business.<br>
<br>
In that context, it may be also informative to look at the credit card<br>
&amp; banking industry; liability for fraudulent charges hasn&#39;t really<br>
pushed them toward developing particularly safe payment technologies -<br>
instead, the cost is just factored in and ultimately passed on the<br>
customer in the form of higher payment processing fees.<br>
<br>
I abhor physical-world analogies, but if we&#39;re going down that path,<br>
it&#39;s also worth noting that we seldom hold people accountable for not<br>
doing absolutely everything within their power to stop abuse. The<br>
builders of your home or the designers of your car are usually not on<br>
the hook if somebody breaks in, even though they could have built more<br>
of a fortress. The company that makes your cereal is not on the hook<br>
if somebody poisons your food down the supply chain, even though they<br>
could have used tamper-resistant packaging.<br>
<span class="HOEnZb"><font color="#888888"><br>
/mz<br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
Dailydave mailing list<br>
<a href="mailto:Dailydave@lists.immunityinc.com">Dailydave@lists.immunityinc.com</a><br>
<a href="https://lists.immunityinc.com/mailman/listinfo/dailydave" target="_blank">https://lists.immunityinc.com/mailman/listinfo/dailydave</a><br>
</div></div></blockquote></div><br></div>