<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="Ih2E3d"><br>
</div>As I said in my previous email, Bitfrost clearly states (correctly, in<br>
my mind) that even justified belief that code originates from some known<br>
individual implies no trust relationship with that code. Period. Use<br>
isolation to make it safer to play with code and use signing to help<br>
reduce attackers&#39; abilities to lie to you about what code you&#39;re going<br>
to be running.<br>
<div></div></blockquote><div><br>If you take this to the extreme, then you would reset manually-granted bitfrost privileges on every activity update, and even remove the default &quot;resume&quot; behavior from the journal for instances of that activity (if it is not the same code, it cannot be trusted to handle to handle the same data without an explicit &quot;resume with new version&quot; choice by the user).<br>
<br>I think new versions which are from the same source should get an implied trust level - the same trust as prior versions, which, in general, will be strictly limited by Bitfrost. I think that the fact that such &quot;same source&quot; may be the same corrupted source does not affect this.<br>
</div></div><br>