<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
On 10/12/08 16:33, Joel Bernstein wrote:
<blockquote
 cite="mid:893ec6980812100833o3d56856fvdef0866402de0400@mail.gmail.com"
 type="cite">
  <pre wrap="">2008/12/10 Jose Luis Martinez <a class="moz-txt-link-rfc2396E" href="mailto:jjllmmss@googlemail.com"><jjllmmss@googlemail.com></a>:
  </pre>
  <blockquote type="cite">
    <pre wrap="">2008/12/10 Robert McKay <a class="moz-txt-link-rfc2396E" href="mailto:robert@mckay.com"><robert@mckay.com></a>:
    </pre>
    <pre wrap="">Some places don't install ssh-agent for this reason.
    </pre>
  </blockquote>
  <pre wrap=""><!---->
Some places probably also make their developers whistle down the
phoneline because computers are inherently insecure. On the whole I
prefer working at companies with a sensible attitude to keeping out of
my way and letting me write some code.

Obviously there are different metrics and requirements for different
usecases and environments but I hesitate at the idea that you're going
to withhold access to tools which make my life easier because a
root-compromised machine could be used to steal passphrases. If the
machine is compromised to that degree, you already lost the game.

My $0.02 anyway.

/joel
  </pre>
</blockquote>
I'll agree and make that $0.04 in the kitty -- absolute security isn't
a goal that should be pursued in any real-world situation.<br>
<br>
While some of the suggestions and solutions in this thread are
interesting in a technical sense, they need to be understood and
applied in the context of the threat and the value of what you're
trying to protect.<br>
<br>
Luke<br>
</body>
</html>