<html>
    <head>
      <base href="https://bugs.freedesktop.org/" />
    </head>
    <body>
      <p>
        <div>
            <b><a class="bz_bug_link 
          bz_status_NEW "
   title="NEW - support for digital signatures"
   href="https://bugs.freedesktop.org/show_bug.cgi?id=16770#c103">Comment # 103</a>
              on <a class="bz_bug_link 
          bz_status_NEW "
   title="NEW - support for digital signatures"
   href="https://bugs.freedesktop.org/show_bug.cgi?id=16770">bug 16770</a>
              from <span class="vcard"><a class="email" href="mailto:digital@markuspage.com" title="Markus Kilås <digital@markuspage.com>"> <span class="fn">Markus Kilås</span></a>
</span></b>
        <pre>(In reply to Albert Astals Cid from <a href="show_bug.cgi?id=16770#c102">comment #102</a>)
<span class="quote">> So we're stuck on "need to use the offset" part, right?
> 
> Could someone try to do make the code use it even if we don't have any pdf
> that needs it?</span >

I am not sure if it is good to apply the robustness principle on security
functions. In those cases it might be better to be defensive and reject
signatures not following the recommendation.

In this case if the ByteRange does not cover the whole document there could be
parts of the document that can be modified without invalidating the signature.
Would it then be good to tell the user that the signature has been validated
and the document is not modified even though in fact there are parts of the
document for which we don't know?</pre>
        </div>
      </p>
      <hr>
      <span>You are receiving this mail because:</span>
      
      <ul>
          <li>You are the assignee for the bug.</li>
      </ul>
    </body>
</html>