soraneではWebにおける正確な文字の表示などの検証を行ってきたが、これから環境が整えばOriginator Profileであったり、いわゆるコンテンツの出所の真正性検証について試ししたいと考えつつ手を出しかねている。
いわゆるサーバー証明書であったりcode signingを越えて断片的なデータが転々流通する仕組みが必要なのか、そういった証憑がAPI連携ではなくeシールを打たれたJSONなりのデータとして流通する場合、識別子を取り巻く厄介な問題を上手く回避しながら、user bindingなりを行う方法があるのか、みたいなところに興味があるのだが、決め手となるようなユースケースやらUXを組み立てるのが意外と難しい。
先日の電子公告におけるSSL/TLSの必要性についての議論も、とりあえず勢いでtelnets対応のクライアントを実装してみたものの、結局目視でサーバー証明書を確認している訳ではないし、何のトラストをどこまで担保しているのか、みたいなことを考え始めると、結局のところ求められているのは事後的な検証可能性であって、個別の局面においてdont't trust, verifyとやるかというと、そう簡単ではなさそうな気がしている。ではverifyしていないことを以て自己責任というべきかというと、どうにも釈然としない。