<div dir="ltr"><div><div>On Thu, Aug 8, 2013 at 2:01 PM, David Lubkin <<a href="mailto:lubkin@unreasonable.com">lubkin@unreasonable.com</a>> wrote:<br>> Sometimes A was removed from office, his term ended, he was fired,<br>
> he was transferred. Sometimes it is completely untrue, and C has<br>> nefarious motives.<br>><br>> How does S confirm that A's security privileges should be removed or<br>> lowered and that someone else's should be granted or raised?<br>
<br>> Do you know of legal, procedural, or technical solutions that you think<br>> adequately cope (from both S's and B's point of view) with the possibility<br>> that either A or C is a bad actor?<br><br>
It reminds me of the <a href="http://en.wikipedia.org/wiki/Dining_philosophers_problem">Dining philosophers problem</a><br><br></div>If you aren't afraid of some pseudo-code, please Crockford's solution via capabilities titled "<a href="http://www.crockford.com/ec/dining.html">Satan comes to dinner</a>."<br>
<br></div><div><div><div>Now the challenge is design a capability-based solution that will remain secure regardless of bad actors A or C.<br></div><div><br><br><a href="http://en.wikipedia.org/wiki/Dining_philosophers_problem">http://en.wikipedia.org/wiki/Dining_philosophers_problem</a><br>
<a href="http://www.crockford.com/ec/dining.html">http://www.crockford.com/ec/dining.html</a><br></div></div></div></div>