<HTML><BODY style="word-wrap: break-word; -khtml-nbsp-mode: space; -khtml-line-break: after-white-space; "><BR><DIV><DIV>On 23-Jan-07, at 8:58 AM, Bob Wyman wrote:</DIV><BR class="Apple-interchange-newline"><BLOCKQUOTE type="cite"><SPAN class="Apple-style-span" style="border-collapse: separate; border-spacing: 0px 0px; color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: auto; -khtml-text-decorations-in-effect: none; text-indent: 0px; -apple-text-size-adjust: auto; text-transform: none; orphans: 2; white-space: normal; widows: 2; word-spacing: 0px; ">On 1/23/07,<SPAN class="Apple-converted-space"> </SPAN><B class="gmail_sendername"><SPAN class="Apple-style-span" style="font-weight: bold; ">Ben Laurie</SPAN></B><SPAN class="Apple-converted-space"> </SPAN>&lt;<A href="mailto:benl@google.com"><SPAN class="Apple-style-span" style="color: rgb(0, 0, 238); -khtml-text-decorations-in-effect: underline; ">benl@google.com</SPAN></A>&gt; wrote:<DIV><SPAN class="gmail_quote"></SPAN><DIV>&gt; Nothing happens? Or Sxipper thinks its a new OP?<BR>My apologies if this is a dumb question, but why would it<SPAN class="Apple-converted-space"> </SPAN><SPAN style="font-weight: bold;"><SPAN class="Apple-style-span" style="font-weight: bold; ">ever</SPAN></SPAN><SPAN class="Apple-converted-space"> </SPAN>make sense for code like Sxipper to believe any RPs statements about the location of the OP? It seems to me that the real value of a "chrome" solution is that it has complete knowledge of who are valid OPs. A properly built chrome solution should never communicate with an alleged OP that it hadn't previously been configured to work with. Establishing a relationship between a client and an OP should, I think, require a relatively "heavy-weight" process which is distinct from all other web interactions and is never done as a side-effect of interaction with any site... Binding to an OP should be a "special" process.<SPAN class="Apple-converted-space"> </SPAN><BR><BR>In fact, with a little bit of intelligence in the client, it seems to me that the client wouldn't even ever have to let the RP know the precise URL that the client uses to talk to its OP. (i.e. The RP would send a redirect to the client, the client would look at the address and say: "thank you very much, but I'm going to this other secret address instead..." )  So, the RP might tell my client to go login at<A href="http://example.com/login"><SPAN class="Apple-style-span" style="color: rgb(0, 0, 238); -khtml-text-decorations-in-effect: underline; ">http://example.com/login</SPAN></A>, but what my client will really do is login at<SPAN class="Apple-converted-space"> </SPAN><A href="https://example.com/login/specialprivateplace/"><SPAN class="Apple-style-span" style="color: rgb(0, 0, 238); -khtml-text-decorations-in-effect: underline; ">https://example.com/login/specialprivateplace/</SPAN></A><SPAN class="Apple-converted-space"> </SPAN>or even<A href="https://someplacecompletelydifferent.com/"><SPAN class="Apple-style-span" style="color: rgb(0, 0, 238); -khtml-text-decorations-in-effect: underline; ">https://someplacecompletelydifferent.com/</SPAN></A>  (Also, note that in that example, the RP says go to http:/... but the client actually goes to https:/...) If you've got intelligence in the client, all sorts of things are possible. You could even use various key based systems to identify the OP, encrypt things so that only the real OP can read them, etc.<SPAN class="Apple-converted-space"> </SPAN></DIV></DIV></SPAN></BLOCKQUOTE></DIV><BR><DIV>Sxipper works this way. </DIV><DIV><BR class="khtml-block-placeholder"></DIV><DIV>-- Dick</DIV></BODY></HTML>