<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <br>
    <br>
    <div class="moz-cite-prefix">On 10/2/18 8:34 AM, Sean Mullan wrote:<br>
    </div>
    <blockquote type="cite"
      cite="mid:bea0c460-6ae9-e88c-4c6f-83de547fa316@oracle.com">Hello,
      <br>
      <br>
      Thanks for all the comments so far, and the interesting
      discussions about the future of the SecurityManager. We will
      definitely return to those discussions in the near future, but for
      now I have a second webrev ready for review for this enhancement:
      <br>
      <br>
      <a class="moz-txt-link-freetext" href="http://cr.openjdk.java.net/~mullan/webrevs/8191053/webrev.01/">http://cr.openjdk.java.net/~mullan/webrevs/8191053/webrev.01/</a>
      <br>
      <br>
      :<br>
      <br>
      2. After further thought, I took Bernd's suggestion [1] and
      instead of adding a new property to disallow the setting of a
      SecurityManager at runtime, have added new tokens to the existing
      "java.security.manager" system property, named "=disallow", and
      "=allow" to toggle this behavior. The "=" is to avoid any
      potential clashes with custom SM classes with those names. I think
      this is a cleaner approach. There are a couple of new paragraphs
      in the SecurityManager class description describing the
      "java.security.manager" property and how the new tokens work.
      <br>
    </blockquote>
    <br>
    I'm not a fan of using double == which is not obvious to catch the
    typo.  I think the `==` syntax may not be commonly known either (I
    suspect it's seldom for a user to override java.security.policy
    rather than augmenting it).<br>
    <br>
    Have you considered using simple token `disallow` and `allow` (or
    all-caps)?  The possibility of a custom security manager class named
    `disallow` and `allow` should be low.<br>
    <br>
    Mandy<br>
  </body>
</html>