On Thu, Apr 8, 2010 at 12:48 AM, Jonas Sicking <span dir="ltr"><jonas@sicking.cc></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div><div></div><div class="h5">On Wed, Apr 7, 2010 at 4:29 PM, Jeremy Orlow <<a href="mailto:jorlow@chromium.org">jorlow@chromium.org</a>> wrote:<br>
>> > In regards to data expiration, part of ensuring the security of data is<br>
>> > knowing how long it will be stored on disk. If I let someone borrow my<br>
>> > computer to check their email, and the email client happens to save some<br>
>> > data onto the client, then that person’s data will now be on my disk for<br>
>> > who<br>
>> > knows how long. That represents a data security issue. By allowing an<br>
>> > expiration date to be tied to the data, you can have reasonable<br>
>> > assurance<br>
>> > that the data isn’t just going to be sitting around waiting for someone<br>
>> > to<br>
>> > try and use it.<br>
>> ><br>
>><br>
>> It is true that not having control over your data could be an issue, but<br>
>> simply<br>
>> embedding expiry into the data may not buy you much to protect it. Insofar<br>
>> as the crypto wouldn't be running in a TPM, it would be easy to reverse<br>
>> engineer<br>
>> it and extract the data; it would also be fairly easy to reset the<br>
>> clock on the device<br>
>> to keep data from being deleted.<br>
><br>
> One thing that might be interesting is a way to cache large amounts of data<br>
> that are deleted when the browser and/or tab closes.  This might be<br>
> something for the new file system API to consider (hence adding ericu to the<br>
> thread).  But time based controls aren't going to do anything more than give<br>
> perceived security.  (In your use case, expiration doesn't add much actual<br>
> security for the reasons Dirk mentioned.)<br>
<br>
</div></div>I disagree. Having data time out is a good "additional layer" of<br>
security. For example if your laptop gets stolen, then it's much<br>
better if the thief only gets access to the sites you've used the last<br>
24h, than any site you've ever used.<br>
<br>
This is why people do things like enforce password changes every X<br>
weeks. Yes, password changing has social downsides, like people<br>
writing down passwords on post-its etc. However those problems do not<br>
seem to apply here.<br>
<br>
So I don't think anyone is arguing that expiration is good security in<br>
and of itself. But it is a good (and low cost) way of getting<br>
additional security.<br></blockquote><div><br></div><div>Sure, but it should not be thought of as anything more than a hint.  If I go to a site that says expire the data in 24 hours and then I turn it off and don't use it for a year, that data is still there.</div>

<div><br></div><div>Anything that has the outward appearance of adding more security than it actually does worries me.  (I'm obviously worried a lot. :-)</div></div>