home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / networking / mail / metamail / CSCW-ATOMICMAIL.txt < prev    next >
Encoding:
Text File  |  1992-12-22  |  35.7 KB  |  645 lines
  1. Computational Mail as Network Infrastructure/Borenstein                1
  2.  
  3.  
  4. Computational Mail as Network Infrastructure 
  5. for Computer-Supported Cooperative Work
  6.  
  7.  
  8. Nathaniel S. Borenstein
  9. Bellcore
  10.  
  11. Abstract
  12.  
  13. Computational email -- the embedding of programs within electronic mail 
  14. messages -- is proposed as a technology that may help to solve some of the 
  15. key problems in deploying successful applications for computer-supported 
  16. cooperative work.  In particular, computational email promises to alleviate 
  17. the problem of remote installation at separately-administered sites, the 
  18. problem of getting users to "buy in" to new applications, and the problem of 
  19. extremely heterogeneous user interaction environments.  In order for 
  20. computational email to be practical, however, key problems of security and 
  21. portability must be addressed, problems for which this research offers new 
  22. solutions.    This paper outlines the promise of this new technology, the 
  23. solutions to the key technical problems, and the areas where further work 
  24. and application development are needed.
  25.  
  26. The Goal:  Distributed Computer-Supported Cooperative Work  
  27.  
  28. In recent years, increasing attention has been focused on the problem of 
  29. computer-supported cooperative work (CSCW).  This work, broadly defined, is 
  30. the attempt to provide computer-based solutions to the problems that arise 
  31. when two or more people attempt to cooperate to perform a task or solve a 
  32. problem.  
  33.  
  34. The simplest CSCW systems, from an architectural perspective, are those in 
  35. which the cooperating individuals share a computerized application on a 
  36. single machine, perhaps even using a single process.  In such systems, many 
  37. problems of coordination and communication can be avoided.  However, such 
  38. systems are increasingly implausible for solving the problems of real-world 
  39. users, who may be widely separated geographically and may have significant 
  40. amounts of computing power on their individual desks.  Truly distributed 
  41. applications seem natural in the face of a high ratio of computing power to 
  42. available communications bandwidth.  For many cooperative applications, 
  43. distributed solutions seem inevitable, and indeed a growing number of CSCW 
  44. prototypes are implemented in a distributed manner.
  45.  
  46. Unfortunately, the practical success of such systems to date has been 
  47. extremely limited.  This paper begins with a discussion of three key problems 
  48. that have inhibited the widespread use of distributed applications for CSCW.  
  49. Following this, the paper offers a description of a new technology, 
  50. "computational electronic mail (email)", that offers a potential solution to 
  51. these problems.  Problems that have, in the past, rendered computational 
  52. email impractical are discussed, along with proposed solutions to these 
  53. problems.  Following this is a discussion of the author's particular realization 
  54. of these solutions, a language designed specifically for the unusual 
  55. requirements of computational email.  The design of this language and its 
  56. prototype implementation are presented as a "proof-of-concept" for the 
  57. practicality of computational email.  The preliminary results of that 
  58. implementation, and its implication for future systems, are discussed briefly 
  59. at the end of the paper.
  60.  
  61. The Practical Difficulty of Widely-Distributed User-Oriented 
  62. Computation
  63.  
  64. When building a user-oriented distributed application, the programmer faces 
  65. a special set of constraints above and beyond the usual substantial hurdles 
  66. entailed in every new user interface.  In particular, he or she must solve at 
  67. least three problems that are not generally faced by single-user or single-
  68. machine applications:
  69.  
  70.   I.  The Problem of Remote Installation
  71.  
  72. In order for an application to be used by multiple users at multiple sites, it 
  73. must, perforce, be installed at all such sites.  This is not a problem for 
  74. applications in which all of the potential users are eager and knowledgeable 
  75. participants, in which case they can be counted on either to install the 
  76. software themselves or request such installation by the local authorities.  
  77. However, this is by no means the normal situation for distributed 
  78. applications.  In many distributed systems, as noted by Grudin [Grudin, 1990], 
  79. there is a substantial imbalance between the motivations of the various 
  80. particpants.  A common scenario, for example, involves one user asking a 
  81. question of a group of users.  In such a situation, it is much more reasonable 
  82. to expect the questioner to ensure the local installation of some CSCW 
  83. software than to expect it of the people being asked.  
  84.  
  85. In short, the participants in a cooperative application often have widely 
  86. differing degrees of motivation, and are therefore likely to exert similarly 
  87. varying degrees of persistence and effort in order to ensure that the software 
  88. for that application is locally installed.  Almost inevitably, this leads to a 
  89. situation in which the highly-motivated individuals find themselves 
  90. wheedling, cajoling, or even begging the less motivated individuals to install 
  91. the software on their systems.  Without extreme persistence, CSCW 
  92. applications can fail without ever really being tried, simply because a 
  93. sufficient installed user base was never created.
  94.  
  95.   II.  The Problem of User Buy-In
  96.  
  97. Related to the problem of getting software installed at widely distributed 
  98. sites is the problem of getting people to actually use the software once it is 
  99. installed.  Because of the differing motivations of the participants, it is likely 
  100. that some users are far more likely than others to actually run the software.  
  101. As Grudin has noted, the users who are most crucial to the success of a CSCW 
  102. application often have the least personal stake in using it.  For example, in 
  103. any system that seeks to help novices get information from experts, the 
  104. experts who know the answers have relatively little motivation to provide it.  
  105. Some systems, such as the Answer Garden of Malone and Ackerman 
  106. [Ackerman and Malone, 1990]  rely on the good will (and memory) of the 
  107. experts to periodically run a program to see if anyone needs help.  Since the 
  108. necessary combination of good will, reliability, and memory are relatively 
  109. rare, this requirement can be crippling to the practical success of a system. 
  110.  
  111.   III.  The Problem of Heterogeneous User Environments
  112.  
  113. For better or worse, there are a wide variety of user interaction environments 
  114. in use today, and this seems unlikely to change in the foreseeable future.  
  115. Potential participants in a cooperative application may be running on dumb 
  116. terminals, Macintoshes, personal computers running MS-DOS with or without 
  117. MS-Windows, OS/2 with Presentation Manager, UNIX with X11, SunTools, 
  118. NeWS, or various other environments.  It is unlikely, to say the least, that the 
  119. purveyors of a cooperative application will be able to dictate, to all potential 
  120. users of the system, a single interaction environment.  (Malone and 
  121. Ackerman's Answer Garden was an exception in this regard:  they were able 
  122. to assume that all users were running X11, for the simple reason that their 
  123. application domain was questions and answers about the X11 system itself.)
  124.  
  125. In order for a distributed application to see widespread use and acceptance, it 
  126. will have to run on a very wide variety of platforms, probably including all 
  127. the ones just mentioned.  But, as programmers well know, getting any piece of 
  128. software to work on such a variety of platforms is a major task in itself, 
  129. above and beyond the main thrust of the cooperative application.
  130.  
  131. Needed:  A Platform On Which to Build
  132.  
  133. If all of these problems afflict a wide variety of cooperative applications, it 
  134. seems natural to seek a mechanism to solve them for the entire class of 
  135. applications, rather than for each application individually.  What is really 
  136. needed is a platform on which distributed applications can be built without 
  137. concern for the problems of distribution, user buy-in, and heterogeneous 
  138. interaction environment.  
  139.  
  140. If a computational engine can be defined in such a way as to support the 
  141. requirements of many cooperative applications, yet without commitment to a 
  142. particular user interaction technology, and if that single engine can somehow 
  143. overcome the first problem, the problem of remote installation, then neither 
  144. the problem of remote installation nor the problem of heterogeneous user 
  145. environments will afflict applications that are built on top of such an engine.  
  146. This leaves the problem of user buy-in:  assuming such an engine were 
  147. defined and widely implemented and installed, how could users be persuaded 
  148. to use it regularly?  One solution is to "piggyback" the engine on top of a 
  149. technology that is already at the fingertips of most computer users today, 
  150. electronic mail.
  151.  
  152. The Case for Computational Email
  153.  
  154. The basic idea of computational email is very simple:  Instead of sending 
  155. plain text, or even multimedia information, in a mail message, what is sent 
  156. instead is a computer program in a well-defined language.  At the recipient's 
  157. end, the mail-reading software recognizes (via a well-defined mechanism) 
  158. that the mail message is intended to be executed rather than read, and 
  159. (accordingly) executes it.  Thus, when the recipient reads a mail message, the 
  160. message might first show him some introductory text, and then engage him in 
  161. a question/answer dialogue.  For example, it might ask him to select which of 
  162. ten proposed dates and times he can make it to a meeting.  The program 
  163. might then mail the answers back to a network server that was collecting 
  164. such answers from several such people, in order to find a meeting time 
  165. suitable to all of them.
  166.  
  167. The greatest appeal in the idea of embedding applications within email is the 
  168. simple way it solves the problem of user buy-in.  Because nearly everyone 
  169. who uses a networked computer nowadays is likely to be a regular reader of 
  170. email, an application that is delivered to a user in the form of email requires 
  171. no special effort or feat of memory, on the part of the recipient, in order to 
  172. run it.  Most important, remote users of a distributed application can, by 
  173. embedding computation in email, solicit information or participation from a 
  174. user who does not yet know that his participation is required.
  175.  
  176. While the idea of embedding computation in email suffers no less than any 
  177. other application from the problems of distributing the initial software and 
  178. devising an interaction mechanism that works regardless of interaction 
  179. environment, it can be designed in such a way that the solution of the 
  180. problem for computational email makes the problem simply nonexistent for 
  181. applications built on a platform of computational email.  In other words, 
  182. solving the remote installation once, for a computational email infrastructure, 
  183. will solve it for a whole class of follow-on applications.
  184.  
  185. Prior Art
  186.  
  187. The idea of computational or "active" mail is sufficiently simple as to have 
  188. been mentioned, in the research literature, at least fifteen years ago, in a 
  189. paper by Anderson and Gillogly [Anderson and Gillogly, 1976], who discussed 
  190. the concept without implementing it.   Several researchers have implemented 
  191. computational email, or "active messaging," including Vittal [Vittal, 1981], 
  192. Hogg [Hogg, 1985], Borenstein and Hansen [Borenstein, 1991a, and Hansen, 
  193. 1990], and Shepherd [Shepherd, 1990].  Each of these systems demonstrated 
  194. facilities for embedding computation and email, and several offered 
  195. convincing evidence for the general utility of such a facility.
  196.  
  197. Nonetheless, all of the prior work has suffered from at least two of four 
  198. crucial flaws, which have prevented a generalized facility for computational 
  199. email from becoming widely available:
  200.  
  201. 1.  Lack of generality.  Some systems, notably the Andrew system 
  202. without Ness [Borenstein, 1991a], offered only highly specialized 
  203. facilities for active messages, such as special-purpose "voting" messages.  
  204. Though useful, such facilities do not provide a platform on which larger 
  205. applications can be built.
  206.  
  207. 2.  Lack of conformity to the standard email transport model.  Some 
  208. systems, notably Imail [Hogg, 1985], did not use asynchronous store-
  209. and-forward delivery, and thus might arguably not be called electronic 
  210. mail.  In particular, Imail provided a very powerful active messaging 
  211. language, but could only be used to exchange messages between 
  212. authenticated users of a single machine.  Since most email crosses 
  213. insecure network connections, such mechanisms do not generalize well 
  214. to the real world.
  215.  
  216. 3.  Lack of security.  Some systems, such as R2D2 [Vittal, 1990] and 
  217. Andrew with Ness [Hansen, 1990], provided general-purpose 
  218. mechanisms that were exceedingly dangerous.  In such systems, a user 
  219. is typically asked a question such as "There is a program here.  Do you 
  220. want to try running it?"  If the user answers in the affirmative, he may 
  221. have risked the destruction of all his files.  This is probably 
  222. unacceptable to most users in the real world.
  223.  
  224. 4.  Lack of portability.  Computational mail that provides a rich user 
  225. interface mechanism, such as Andrew with Ness [Hansen, 1990], or 
  226. Strudel [Shepherd, 1990], has typically been extremely non-portable 
  227. with regard to user interaction environments.  With Andrew messages, 
  228. for example, the interaction mechanisms only worked properly if the 
  229. recipient read his mail using the Andrew Messages program, under the 
  230. X11 or WM window systems.  In a highly heterogeneous world, such 
  231. restrictions are not acceptable to many communities.
  232.  
  233. Thus, although the existing literature amply documents the continuing 
  234. fascination that computational email holds for email researchers, it fails to 
  235. provide a practical model for making computational email a part of the 
  236. general shared infrastructure of a large, diverse, and not entirely trusting 
  237. network community.  This is the starting point for the research reported here.
  238.  
  239. Portability Across User Environments
  240.  
  241. Stated in the most general and ambitious manner, the goal of making user 
  242. interfaces entirely portable between a wide range of user interface 
  243. environments is probably impossible.  However, a lesser goal will suffice for 
  244. computational email.
  245.  
  246. A significant number of applications can be built using user interface 
  247. primitives that require only textual input and output, and that are specified 
  248. in a manner that assume nothing about the capabilities of the user interaction 
  249. environment.  Examples of such primitives might include:
  250.  
  251. 1.  Get text (a string) from the user.
  252.  
  253. 2.  Get a number from the user.
  254.  
  255. 3.  Ask the user a multiple choice question.
  256.  
  257. 4.  Fill in the blanks in a form.
  258.  
  259. 5.  Display a chunk of text to the user.
  260.  
  261. As long as the language primitives refer only to the information that must be 
  262. given to or obtained from the user, and make no reference to the technologies 
  263. by which that information is to be given or obtained, and as long as the 
  264. information can be expressed as simple text, such primitives can be 
  265. implemented in virtually any interaction environment.  For example, a 
  266. multiple choice question might produce a dialog box for a user running in a 
  267. graphical environment, while it might produce a numbered list on a teletype, 
  268. with a request to "choose a number from 1 to 7."  
  269.  
  270. What matters, in such primitives, is that the mechanism by which the 
  271. information is conveyed is left unspecified by the definition of the primitive.  
  272. Given that fact, a user can expect to compose and test a program in one 
  273. environment, secure in the knowledge that it will behave well even in a very 
  274. different environment, where the interpreter understands the same language, 
  275. even though it might interact with the user rather differently.
  276.  
  277. Security of Computational Email
  278.  
  279. The security of a computational email message is an area where virtually no 
  280. compromise is acceptable.  This might not have been true a few years ago, but 
  281. well-publicized episodes such as the Internet Worm [Spafford, 1989] have 
  282. made most computer users highly conscious of, and concerned about, the 
  283. security of their computer systems.
  284.  
  285. However, despite such concerns, it must be explicitly recognized that certain 
  286. risks are routinely accepted by the general computing public.  Conventional 
  287. electronic mail, for example, is not without risks.  The most common risk in 
  288. current mail systems is resource deprivation.  For example, by repeatedly 
  289. sending large mail messages, any network user can often fill the disk of 
  290. another, depriving him (at least temporarily) of the use of that disk.  This can 
  291. often be done completely anonymously, and can be a minor nuisance or a 
  292. major problem, depending on what else shares the disk.  Similarly, a program 
  293. that uses mail protocols on a network can, by playing "cat and mouse" with 
  294. someone else's mail transport agent, effectively tie up much of the bandwidth 
  295. available on a network, or even a substantial portion of the computational 
  296. power of the remote processor.
  297.  
  298. Beyond resource deprivation, an even more insidious risk in mail systems is 
  299. that they are vulnerable to intruders using essentially non-technical means.  
  300. Recently, many users on the Internet were told, via official looking mail, that 
  301. they had to change their passwords to "SYSTEST01" immediately; apparently 
  302. more than a few complied.  The infamous "Christmas Tree Virus" that afflicted 
  303. the IBM networks a few years back was entirely based on social engineering:  
  304. Users received mail that appeared to come from someone they knew, saying 
  305. "here's a neat program that will make an animated Christmas Tree on your 
  306. screen."  When executed, the program did exactly that, thus avoiding 
  307. suspicion, but it also sent copies of itself to all of the users' regular 
  308. correspondents.
  309.  
  310. Finally, existing mail systems, like all network software, are vulnerable to 
  311. security problems through bugs.  The Internet worm, for example, exploited a 
  312. bug in a mail transport program as one of several mechanisms for 
  313. transporting itself.
  314.  
  315. The point of the foregoing discussion is not to frighten the reader out of ever 
  316. using email again, but rather to point out that a "risk free" solution is 
  317. chimerical.  A more realistic security goal for computational email might be 
  318. characterized as follows:  Computational email should entail no security 
  319. problems that are worse, either in kind or in degree, than the problems that 
  320. afflict ordinary (textual) email.  Given such a goal, we may begin by 
  321. characterizing the potential risks into three broad categories:
  322.  
  323. 1.  Destruction of Resources (e.g. files)
  324.  
  325. 2.  Theft of Resources (e.g. private files)
  326.  
  327. 3.  Deprivation of Resources (e.g. filling up a disk or tying up a CPU)
  328.  
  329. To understand how these problems can be addressed, it is instructive to 
  330. consider an analogy.  Imagine, for a moment, that somewhere in the 
  331. basement of the Pentagon there are two computers.  They are identical 
  332. hardware, and they run identical software; they are as alike as two peas in a 
  333. pod.  On each of them, there is an executable procedure called 
  334. "DestroyBaghdad".  On one of the machines, executing this procedure does 
  335. nothing.  On the other, the effects of executing the procedure are disastrous, 
  336. at least for the citizens of Iraq.  The only difference between the two 
  337. machines is a single wire coming out of the back of the second machine.1
  338.  
  339. The point, of course, is that nothing inherent to a computational language is 
  340. dangerous; danger is posed only insofar as the effects of executing statements 
  341. in a language include "side-effects" in the external world.  If all the "wires" 
  342. connecting a computational language to the outside world are cut, then 
  343. executing programs in that language is harmless.  (An exception to this claim 
  344. is that such a program can still tie up the CPU, virtual memory, or swap space 
  345. on a machine by going into an infinite loop; this can be handled via resource 
  346. limitations.)
  347.  
  348. More concretely, if one starts with a conventional programming language, 
  349. such as LISP [Steele, 1990], and removes all input and output from the 
  350. language (including not only input and output to and from the user, but also 
  351. to and from files, other processes, and arbitrary memory locations which 
  352. might be connected with physical devices), one is left with a language without 
  353. "wires" to the outside world.  No matter what can be expressed in such a 
  354. language, it can do no harm to the outside world.
  355.  
  356. Unfortunately, though it can do no harm, it can do little good, either.  So the 
  357. task of devising a secure language for computational email reduces, in 
  358. practice, to the construction of a secure input/output mechanism for a 
  359. conventional language.  Devising such a mechanism is really just a matter of 
  360. judicious trade-offs.  For example, one can specify that the language has no 
  361. general-purpose access to the file system, but has a limited form of access to 
  362. a subset of the file system.  In the system to be described below, programs 
  363. have access only to a restricted subdirectory of the user's files, and the 
  364. interpreter is expected to ensure that no "tricks" (such as, in UNIX, the use of 
  365. ".." or symbolic links) can be used to access files outside that area.  Within 
  366. that restricted area, programs are additionally restricted in their ability to 
  367. overwrite existing files, and in the number and size of the files they can 
  368. create.  In such a way, the potential harm to the file system that is caused by 
  369. computational email is not greater than the disk-filling potential of textual 
  370. email.  Similar restrictions are applied to other input/output processes, 
  371. including sending mail.  Some security constraints also apply to user 
  372. interaction:  for example, in order to prevent subversion through the clever 
  373. exploitation of "intelligent" terminals, input and output is restricted to 
  374. printable characters.
  375.  
  376. Heterogeneous Mail Reading Software
  377.  
  378. A major impediment to any enhancements to electronic mail systems is the 
  379. tyranny of the lowest common denominator.  Multimedia mail systems such 
  380. as Andrew [Borenstein, 1991a] and Diamond [Forsdick, 1984] have long 
  381. suffered from the fact that, in the absence of widely accepted standards for 
  382. multimedia mail formats, most email traffic will necessarily be plain text, 
  383. even for users of multimedia systems, because most of their correspondents 
  384. will not be users of compatible systems.  
  385.  
  386. The same problem affects any attempt to promote the use of computational 
  387. email.  In order for such a system to be widely used, it must not require the 
  388. use of a special mail-reading tool.  Instead, a mechanism is needed whereby a 
  389. wide variety of mail-reading tools can easily be given the capability to handle 
  390. computational email.
  391.  
  392. Such a mechanism has been prototyped by the author, and is described 
  393. elsewhere [Borenstein, 1991b].  Its essence, however, is simple.  Each mail-
  394. reading user interface is modified in a small but crucial way:  it is modified so 
  395. that, whenever a user requests to see the body of a message, the software 
  396. first checks to see whether or not the message is plain text.  (In Internet mail, 
  397. this is done by checking the Content-type header field.)  If it is not plain text, 
  398. then the body is not directly displayed; instead, an external program called 
  399. metamail is invoked.  The metamail program is a simple switch that compares 
  400. the content-type of the current message to a configuration file (mailcap file) 
  401. that tells how various types of mail can be handled at the local site.  If a 
  402. handler is found for the current message type, the message is passed off to 
  403. that handler for presentation to the user.  Otherwise the user is informed 
  404. about the unrecognized data, rather than shown the (probably 
  405. incomprehensible) raw data stream.
  406.  
  407. Given this mechanism, it is easy to integrate computational email into a wide 
  408. variety of mail-reading agents.  Once those agents have been modified to use 
  409. the metamail software, as described above, it is simply a matter of installing 
  410. an interpreter for the computation mail language, and adding an appropriate 
  411. line to the local mailcap file.
  412.  
  413. ATOMICMAIL:  A Practical System for Computational Email
  414.  
  415. In accordance with the ideas described above, the author has designed a 
  416. language suitable for embedding computation in electronic mail, known as 
  417. ATOMICMAIL.2  The ATOMICMAIL software is designed to provide a secure 
  418. and portable language for distributed applications that use electronic mail as 
  419. a transport mechanism, or implement what might be called "User to User 
  420. Remote Procedure Call."
  421.  
  422. ATOMICMAIL Language Definition
  423.  
  424. ATOMICMAIL uses LISP [Steele, 1990] as its basic language model.  There is 
  425. nothing essential about LISP for this purpose, although it is a very clean 
  426. interpreted language, which eases the validation of the security mechanisms.  
  427. (It would be considerably harder to be sure about the security of a compiled 
  428. language, and particularly one like C [Kernighan and Ritchie, 1988] that 
  429. includes mechanisms (e.g. pointers) for accessing arbitrary memory locations.)  
  430. Of course, LISP is just a starting point.  As mentioned before, all input and 
  431. output facilities were removed from the basic language and replaced with 
  432. input and output mechanisms that did not compromise security and that were 
  433. portable to virtually any user interaction environment.
  434.  
  435. Thus, for example, LISP's READ primitive is gone, but new primitives such as 
  436. GETSTRING and GETBOOLEAN are defined.  Similarly, new file system 
  437. primitives permit a strictly limited access to a circumscribed local file system.
  438.  
  439. A complete specification of the ATOMICMAIL language is too lengthy and 
  440. detailed to be included here.  The language is, however, rigorously specified 
  441. in [Borenstein, 1990].  Figure 1 shows a small ATOMICMAIL program.
  442.  
  443. The Bellcore Prototype ATOMICMAIL Interpreter
  444.  
  445. Although a computational email language should be designed for portability 
  446. and abstraction of user interface, an implementation (interpreter) must 
  447. inevitably be grounded in some particular user interaction environment.  
  448. Based on the realities of the heterogeneous environment at Bellcore, the 
  449. initial ATOMICMAIL interpreter was written to use the curses library 
  450. [Arnold, 1984] for its user interface.  The prototype interpreter will, 
  451. therefore, run on any machine that is (or can emulate) a UNIX terminal.  
  452. Under window systems such as X11, a terminal emulator window is used.  
  453. This architecture clearly sacrifices a good deal of potential usability, but it 
  454. ensures that the facilities of computational email will be available to the 
  455. widest possible number of users.  A graphical (X11) interpreter for the same 
  456. ATOMICMAIL language is also planned.  The prototype ATOMICMAIL 
  457. interpreter uses, as its basic LISP engine, the Embedded LISP Interpreter 
  458. (ELI) from the Andrew Message System [Borenstein, 1991a].
  459.  
  460. Like any network service, the implementation of a computational email 
  461. system may be less secure than its specification.  A great deal of attention has 
  462. been paid, in the design of ATOMICMAIL, to ensure that there would be no 
  463. serious security problems in a hypothetical perfect implementation.  No 
  464. claims are made, however, that the prototype is such a perfect 
  465. implementation.  It seems likely that an ATOMICMAIL implementation is 
  466. neither more nor less likely to contain unexpected and accidental security 
  467. risks than any other network service software.  
  468.  
  469. Figures 2 through 4 show the prototype ATOMICMAIL interpreter at work.
  470.  
  471. As of September, 1991, the ATOMICMAIL software has been deployed in at 
  472. least four different laboratories at Bellcore.  It is available to universities with 
  473. a royalty-free license for non-commercial use.
  474.  
  475. Initial Uses of ATOMICMAIL
  476.  
  477. The initial deployment of ATOMICMAIL has demonstrated that computational 
  478. email can be made to work portably and securely.   It has not, however, 
  479. proven that such a mechanism is worthwhile.  Before such a claim can be 
  480. made, it is necessary to have one or more substantial applications that are 
  481. highly valued by the user community.  While it is too early to evaluate their 
  482. overall utility, six applications have been prototyped at Bellcore:  a survey 
  483. generator, a meeting scheduler, a document distributor, an information finder, 
  484. an activist alert mechanism, and a distributed mail-based game.
  485.  
  486. The survey generator is a tool for generating simple surveys with 
  487. ATOMICMAIL.  With this tool, the user simply enters a set of questions (fill in 
  488. the blank, multiple choice, etc.) and the mail addresses to which he wants the 
  489. questions sent.  The recipients are surveyed interactively by an 
  490. ATOMICMAIL message, which then sends the response back as normal 
  491. electronic mail, or (optionally) sends it to a process which collates the results 
  492. and sends back only a high-level summary.  
  493.  
  494. The meeting scheduler allows the person calling a meeting to specify the 
  495. purpose of the meeting, a list of participants, and a set of possible dates and 
  496. times for the meeting.  Each participant is surveyed via ATOMICMAIL, and 
  497. the results are collected and returned to the originator as a summary that 
  498. quickly shows which times, if any, everyone can make it.
  499.  
  500. The document distributor is a tool that makes it easy for someone who is 
  501. distributing documents to generate an ATOMICMAIL message that offers 
  502. recipients a scrollable list of document titles.  When a recipient selects a title, 
  503. he is shown an abstract of the document and asked whether he wants to 
  504. order it.  Orders are sent to a designated "fulfillment" address via normal 
  505. electronic mail.
  506.  
  507. The information finder is an application that maintains a database of 
  508. expertise within an organization.  Users are encouraged to send questions on 
  509. any topic to the information finder, which will use ATOMICMAIL to ask the 
  510. question of one or more relevant experts.  If the experts don't know the 
  511. answers, they are asked to suggest other experts, who are then surveyed in 
  512. turn.  This process continues, spreading out to more specialized and possibly 
  513. more distant experts, until an answer is obtained that satisfies the user.
  514.  
  515. The activist alert mechanism is a program that shows its recipient a brief text 
  516. explaining a "hot" political issue.  It then asks if the user wants to lobby his or 
  517. her elected officials on this topic.  If the user assents, the program verifies the 
  518. names of the user's elected representatives, and either generates a paper 
  519. copy of a letter to those representatives or sends a fax to them directly.  
  520. Finally, it asks the user if there are any other people to whom the alert 
  521. should be redistributed.
  522.  
  523. The "Name That Tune" game is an ATOMICMAIL version of the familiar game 
  524. show.  All of the "bidding" steps in the game are conducted via ATOMICMAIL.  
  525. In the final step of the game, a multipart message, including both audio and 
  526. ATOMICMAIL, is used to play the tune and ask the user to name it.
  527.  
  528. Earlier, ATOMICMAIL was also used to prototype another mail-related 
  529. service, dynamic mailing lists.  In this service, a message to a mailing list 
  530. contained, in addition to its normal text, an ATOMICMAIL component that 
  531. asked people whether or not they wanted to take part in further discussions 
  532. on the same topic.  In this case, although ATOMICMAIL facilitated a quick 
  533. prototype, it soon became obvious that the functionality was better 
  534. accomplished by modifying the message reading software so that even plain 
  535. text messages could be the start of new dynamic mailing lists.
  536.  
  537. Future Work
  538.  
  539. There are many directions for the future of ATOMICMAIL.  Beyond additional 
  540. and enhanced ATOMICMAIL application services, there are several other 
  541. promising directions for future work.  A graphical interpreter for the current 
  542. ATOMICMAIL language would both further demonstrate the interface-
  543. independence of the language and make the execution of ATOMICMAIL 
  544. programs much more pleasant for those who could use it.  By incorporating 
  545. cryptographic techniques and digital signatures, it should be possible to 
  546. extend ATOMICMAIL's capabilities to allow users to permit more dangerous 
  547. actions to be executed when the mail is authenticated as coming from a 
  548. trusted source.  Another direction for extension would be to relax somewhat 
  549. the assumptions about user interface environments.  For example, an 
  550. ATOMICMAIL-like language that presumed the presence of a bitmap display 
  551. might permit substantially more interesting applications to be developed.   
  552. Overall, there is no shortage of promising new directions for research on 
  553. computational electronic mail.
  554.  
  555. Acknowledgements
  556.  
  557. The ATOMICMAIL project has been made possible by the enlightened 
  558. management with which Bellcore is generally blessed.  The development of 
  559. the language and the prototype software has benefited greatly from the many 
  560. clever people who have helped me with useful suggestions and 
  561. encouragement, including Bob Kraut, Al Buzzard, Jonathan Rosenberg, Louis 
  562. Gomez, John Patterson, Steve Rohall, Ralph Hill, Will Leland, Peter Clitherow, 
  563. Shoshana Hardt-Kornacki, Steve Uhler, Mike Bianchi, Scott Stornetta, Michael 
  564. Littman, Ron Underwood, Mike O'Dell, Nat Howard, Dana Chee, Mark Segal, 
  565. Steve Butera, Dave Sincoskie, Mark Donadio, Laurence Brothers, and, no doubt, 
  566. others whom I have inadvertently omitted.
  567.  
  568. References
  569.  
  570. [Ackerman and Malone, 1990]  Ackerman, M. and Malone, T., "Answer Garden:  
  571. A Tool for Growing Organizational Memory", Proceedings of the Conference on 
  572. Office Information Systems, Cambridge, Massachusetts, 1990]
  573.  
  574. [Anderson and Gillogly, 1976]  Anderson, R. H., and J. J. Gillogly, "Rand 
  575. Intelligent Terminal Agent (RITA): Design Philosophy", Rand Corporation 
  576. Technical Memorandum R-1809-ARPA, February, 1976.
  577.  
  578. [Arnold, 1984]  Arnold, Kenneth C. R. C., "Screen Updating and Cursor 
  579. Movement Optimization:  A Library Package", UNIX Programmer's Manual 
  580. Supplementary Documents, USENIX Association, 1984.
  581.  
  582. [Borenstein, 1990] Borenstein, Nathaniel S., "MAGICMAIL Language Reference 
  583. Manual", Bellcore Technical Memorandum.
  584.  
  585. [Borenstein, 1991a]  Borenstein, Nathaniel S., and Chris A. Thyberg, "Power, 
  586. Ease of Use, and Cooperative Work in a Practical Multimedia Message System", 
  587. International Journal of Man-Machine Studies, April, 1991.
  588.  
  589. [Borenstein, 1991b] Borenstein, Nathaniel S., "Multimedia Electronic Mail:  Will 
  590. the Dream Become Reality?", Communications of the ACM, April, 1991.
  591.  
  592. [Forsdick, 1984]  Forsdick, H.C., Thomas, R.H., Robertson, G. G., and Travers, V. 
  593. M., "Initial Experience with Multimedia Documents in Diamond", Computer 
  594. Message Service, Proceedings IFIP 6.5 Working Conference, IFIP, 1984.
  595.  
  596. [Grudin, 1990]   Grudin, J., "Seven plus one challenges for Groupware 
  597. Developers", Rev. of DAIMI PB 323 Aarhus University Computer Science 
  598. Department.
  599.  
  600. [Hansen, 1990]  Hansen, W. Fred, "Enhancing Documents with Embedded 
  601. Programs:  How Ness Extends Insets in the Andrew Toolkit", Proceedings of 
  602. IEEE Computer Society 1990 International Conference on Computer 
  603. Languages, New Orleans, 1990.
  604.  
  605. [Hogg, 1985]  Hogg, John, "Intelligent Message Systems", in Office Automation, 
  606. D. Tsichritzis, editor, Springer-Verlag, 1985.
  607.  
  608. [Kernighan and Ritchie, 1978]  Kernighan, Brian W., and Dennis M. Ritchie, The 
  609. C Programming Language, Prentice-Hall, 1978.
  610.  
  611. [Shepherd, 1990]  Shepherd, Allan, Niels Mayer, and Allan Kuchinsky, "Strudel 
  612. -- An Extensible Electronic Conversation Toolkit", Proceedings of CSCW '90, 
  613. October, 1990.
  614.  
  615. [Spafford, 1989]  Spafford, Eugene H., "The Internet Worm: Crisis and 
  616. Aftermath," Communications of the ACM, June, 1989.
  617.  
  618. [Steele, 1990]  Steele, Guy L., Common Lisp:  The Language, Second Edition, 
  619. Digital Press, 1990.
  620.  
  621. [Vittal, 1981]  Vittal, John, "Active Message Processing:  Messages as 
  622. Messengers", in Computer Message Systems, R. P. Uhlig, editor, North-Holland 
  623. Publishing Company, 1981.
  624.  
  625.  
  626.  
  627. Figures
  628.  
  629. Figure 1 -- program code for a simple survey
  630.  
  631. Figure 2 -- The ATOMICMAIL help screen
  632.  
  633. Figure 3 -- An ATOMICMAIL survey
  634.  
  635. 1It should be noted that no ethically-trained software engineer would ever consent to 
  636. write a "DestroyBaghdad" procedure.  Basic professional ethics would instead require 
  637. him to write a "DestroyCity" procedure, to which "Baghdad" could be given as a 
  638. parameter.
  639. 2The original name for this language was MAGICMAIL, which stands for "Messages that 
  640. are Active Generate Innovation and Cooperation, but Mustn't Allow Internet Larceny."  
  641. Unfortunately, a trademark was unavailable, so the language has been renamed 
  642. ATOMICMAIL, which stands for "A Trademark On MAGICMAIL is Impossible; Clearly 
  643. Monikers Are Inhibited by Legalisms."
  644.  
  645.