<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html><head><meta content="text/html; charset=utf-8" http-equiv="Content-Type"></head><br><br><div style='font-size:10.0pt;font-family:"Tahoma","sans-serif";padding:3.0pt 0in 0in 0in'>
<hr style='border:none;border-top:solid #E1E1E1 1.0pt'>
<b>From:</b> Jeremy Gillula <jeremy@eff.org><br>
<b>Sent:</b> July 8, 2016 7:35:21 PM EDT<br>
<b>To:</b> nanog@nanog.org<br>
<b>Subject:</b> An open letter to security researchers and practitioners<br>
</div>
<br>
<pre class="k9mail">An open letter to security researchers and practitioners:<br /><br />We need you to take a stand to protect security researchers who report<br />defects in browsers, before it's too late.<br /><br />Earlier this month, the World Wide Web Consortium's Encrypted Media<br />Extensions (EME) spec progressed to Draft Recommendation phase. This is<br />a controversial standard for transmitting DRM-encumbered videos, and it<br />marks the very first time that the W3C has attempted to standardize a<br />DRM system.<br /><br />This means that for the first time, W3C standards for browsers will fall<br />under laws like the DMCA (and its international equivalents, which the<br />US Trade Representative has spread all over the world). These laws allow<br />companies to threaten security researchers who disclose vulnerabilities<br />in DRM systems, on the grounds that these disclosures make it easier to<br />figure out how to bypass the DRM.<br /><br />Last summer, the
Copyright Office heard from security researchers about<br />the effect that DRM has on their work; those filings detail showstopper<br />bugs in consumer devices, cars, agricultural equipment, medical<br />implants, and voting machines that researchers felt they couldn't<br />readily publish about, lest they face punitive lawsuits from the<br />companies they embarrassed.<br /><br />EFF has asked the W3C to take a minimal step to insulate their<br />stakeholders from the legal fallout from the inclusion of DRM in their<br />standards. Our proposal asks the W3C to bind its members to legal<br />promises not to use the DMCA or laws like it against security<br />researchers or implementers.<br /><br /><a href="https://www.eff.org/deeplinks/2016/06/w3c-eme-and-eff-frequently-asked-questions">https://www.eff.org/deeplinks/2016/06/w3c-eme-and-eff-frequently-asked-questions</a><br /><br />So far, the W3C executive has failed to act on this proposal, despite<br />diverse support from a
number of W3C members.<br /><br />We are hosting an open letter from security, privacy and technology<br />experts to the W3C's director, Tim Berners-Lee; and its CEO, Jeff Jaffe,<br />asking them to make any further work on EME contingent on adopting rules<br />to protect the open web from these bad laws.<br /><br /><a href="https://www.eff.org/deeplinks/2016/03/security-researchers-tell-w3c-protect-researchers-who-investigate-browsers">https://www.eff.org/deeplinks/2016/03/security-researchers-tell-w3c-protect-researchers-who-investigate-browsers</a><br /><br />Will you sign this letter? Some of security's leading lights have<br />already put their names to it. We can't afford to make widely used tools<br />like browsers off-limits to security research and disclosure, especially<br />not as HTML5 is being positioned as a UI environment to replace apps as<br />the primary way of interacting with sensors, actuators, embedded systems<br />and the whole Internet of Things.<br /><br
/>If you're willing to sign on, please send an email to cory@eff.org with<br />your country of residence and your institutional affiliation (if any).<br /><br />Thank you,<br /><br />Cory Doctorow<br />Apollo 1201 Project<br />Electronic Frontier Foundation<br /><br /><br /></pre></html>