<font face="arial" size="3"><p style="margin:0;padding:0;font-family: arial; font-size: 12pt; overflow-wrap: break-word;">Michael Richardson asked: "So where would it go, if not the FTC?"</p>
<p style="margin:0;padding:0;font-family: arial; font-size: 12pt; overflow-wrap: break-word;"> </p>
<p style="margin:0;padding:0;font-family: arial; font-size: 12pt; overflow-wrap: break-word;">I think Congress has to create a function in some organization that has technical and policy capabilities, and the powers to regulate manufacturers.</p>
<p style="margin:0;padding:0;font-family: arial; font-size: 12pt; overflow-wrap: break-word;"> </p>
<p style="margin:0;padding:0;font-family: arial; font-size: 12pt; overflow-wrap: break-word;">It could be in the Dept. of Commerce, but it needs things the FTC doesn't have. I know NIST (also in Commerce) has a number of initiatives in non-military security, but not privacy or individual rights. They have the technical capabilities in house, and define standards where appropriate. But NIST doesn't do policy nor have any power to regulate.</p>
<p style="margin:0;padding:0;font-family: arial; font-size: 12pt; overflow-wrap: break-word;"> </p>
<p style="margin:0;padding:0;font-family: arial; font-size: 12pt; overflow-wrap: break-word;">Much like the FDA has powers to regulate medical device makers and sellers, because there are important public goods in medical treatment, I think it might be time to begin dealing with *essential* devices like routers in an appropriate way. Doing so while retaining low cost and maximizing innovation is hard, but it need not be done the same way as the regulation of medical devices are regulated (in fact medical device regulations should probably be rethought after 100 years of progress in technology and medicine).</p>
<p style="margin:0;padding:0;font-family: arial; font-size: 12pt; overflow-wrap: break-word;"> </p>
<p style="margin:0;padding:0;font-family: arial; font-size: 12pt; overflow-wrap: break-word;"><rant></p>
<p style="margin:0;padding:0;font-family: arial; font-size: 12pt; overflow-wrap: break-word;">FYI: This whole idea, which seems necessary, makes part of me personally uncomfortable. I don't trust Congress to get it right, given the huge amount of money available to drive them in the wrong direction. FB and Google have run extremely successful propaganda campaigns to convince America that they "serve their users" and it is too hard to do the right thing, so we should admire their tiny amount of concern about their own bad behavior.  But the real truth is that they "serve their users to their customers on a platter", where their customers are not their users at all, but a vast advertising and data-brokerage system that lives to maximize surveillance of of every behavior of every human on the planet, and then to find new exploits that can "monetize" the observed behavior.</p>
<p style="margin:0;padding:0;font-family: arial; font-size: 12pt; overflow-wrap: break-word;"> </p>
<p style="margin:0;padding:0;font-family: arial; font-size: 12pt; overflow-wrap: break-word;">We didn't build the Internet protocols to enable mass surveillance by anybody. We built it for simplifying communications among willing participants. But the latter good is lost, as the Pied Piper solved our communications concerns using the Internet, and then demanded control of our children.</p>
<p style="margin:0;padding:0;font-family: arial; font-size: 12pt; overflow-wrap: break-word;"></rant></p>
<p style="margin:0;padding:0;font-family: arial; font-size: 12pt; overflow-wrap: break-word;"> </p>
<p style="margin:0;padding:0;font-family: arial; font-size: 12pt; overflow-wrap: break-word;">-----Original Message-----<br />From: "Michael Richardson" <mcr@sandelman.ca><br />Sent: Wednesday, November 28, 2018 4:14am<br />To: "David P. Reed" <dpreed@deepplum.com><br />Cc: "Sebastian Moeller" <moeller0@gmx.de>, "cerowrt-devel" <cerowrt-devel@lists.bufferbloat.net><br />Subject: Re: [Cerowrt-devel] security guidelines for home routers<br /><br /></p>
<div id="SafeStyles1543430887">
<p style="margin:0;padding:0;font-family: arial; font-size: 12pt; overflow-wrap: break-word;">David P. Reed <dpreed@deepplum.com> wrote:<br /> > Personally, I think it's time to move "security" out of the military<br /> > sector of government..<br /><br />+1<br /><br /> > But maybe not in the FCC, which is in a weird part of the USG, with no<br /> > budget for technical expertise at all. (Congress doesn't want them to<br /> > have technical resources)<br /><br />So where would it go, if not the FTC?<br /><br /></p>
</div></font>