<html><body bgcolor="#FFFFFF"><div>&gt; &nbsp;<span class="Apple-style-span" style="font-size: 15px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(175, 192, 227, 0.230469); -webkit-composition-frame-color: rgba(77, 128, 180, 0.230469); "><span>but in some way you have not potentially</span><br><span>allowing the attacker to access all your encrypted data rather than&nbsp;</span><span>just the decrypted data that was avaialble to the user on that one&nbsp;</span><span>compromised accountant's PC.</span></span></div><div><span class="Apple-style-span" style="font-size: 15px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.289062); -webkit-composition-fill-color: rgba(175, 192, 227, 0.222656); -webkit-composition-frame-color: rgba(77, 128, 180, 0.222656);"><br></span></div><div><span class="Apple-style-span" style="font-size: 15px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.292969); -webkit-composition-fill-color: rgba(175, 192, 227, 0.226562); -webkit-composition-frame-color: rgba(77, 128, 180, 0.226562);">But still - I call this game over. You need to &nbsp;disclose this breach if discovered. The attacker has regular access to this account. If this user is an admin the attacker can override CSRF protections and "administer" other users. Etc...<span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.277344); -webkit-composition-fill-color: rgba(175, 192, 227, 0.210938); -webkit-composition-frame-color: rgba(77, 128, 180, 0.210938); "></span></span></div><div><span class="Apple-style-span" style="font-size: 15px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.289062); -webkit-composition-fill-color: rgba(175, 192, 227, 0.222656); -webkit-composition-frame-color: rgba(77, 128, 180, 0.222656);"><br></span></div><div><span class="Apple-style-span" style="font-size: 15px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.292969); -webkit-composition-fill-color: rgba(175, 192, 227, 0.226562); -webkit-composition-frame-color: rgba(77, 128, 180, 0.226562);">I still say client compromise is a critical event that will have a significant impact underming the security of every user in the victims web of trust.&nbsp;<span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.277344); -webkit-composition-fill-color: rgba(175, 192, 227, 0.210938); -webkit-composition-frame-color: rgba(77, 128, 180, 0.210938); ">&nbsp;&nbsp;</span></span></div><div><br>Jim Manico</div><div><br>On May 1, 2010, at 10:22 AM, "Kevin W. Wall" &lt;<a href="mailto:kevin.w.wall@gmail.com">kevin.w.wall@gmail.com</a>&gt; wrote:<br><br></div><blockquote type="cite"><span>s. I don't care what it is, but in some way you have not potentially</span><br><span>allowing the attacker to access all your encrypted data rather than</span><br><span>just the decrypted data that was avaialble to the user on that one</span><br><span>compromised accountant's PC.</span></blockquote><div></div></body></html>