<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:p="urn:schemas-microsoft-com:office:powerpoint" xmlns:a="urn:schemas-microsoft-com:office:access" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:s="uuid:BDC6E3F0-6DA3-11d1-A2A3-00AA00C14882" xmlns:rs="urn:schemas-microsoft-com:rowset" xmlns:z="#RowsetSchema" xmlns:b="urn:schemas-microsoft-com:office:publisher" xmlns:ss="urn:schemas-microsoft-com:office:spreadsheet" xmlns:c="urn:schemas-microsoft-com:office:component:spreadsheet" xmlns:odc="urn:schemas-microsoft-com:office:odc" xmlns:oa="urn:schemas-microsoft-com:office:activation" xmlns:html="http://www.w3.org/TR/REC-html40" xmlns:q="http://schemas.xmlsoap.org/soap/envelope/" xmlns:D="DAV:" xmlns:mt="http://schemas.microsoft.com/sharepoint/soap/meetings/" xmlns:x2="http://schemas.microsoft.com/office/excel/2003/xml" xmlns:ois="http://schemas.microsoft.com/sharepoint/soap/ois/" xmlns:dir="http://schemas.microsoft.com/sharepoint/soap/directory/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:dsp="http://schemas.microsoft.com/sharepoint/dsp" xmlns:udc="http://schemas.microsoft.com/data/udc" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:sub="http://schemas.microsoft.com/sharepoint/soap/2002/1/alerts/" xmlns:ec="http://www.w3.org/2001/04/xmlenc#" xmlns:sp="http://schemas.microsoft.com/sharepoint/" xmlns:sps="http://schemas.microsoft.com/sharepoint/soap/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:udcs="http://schemas.microsoft.com/data/udc/soap" xmlns:udcxf="http://schemas.microsoft.com/data/udc/xmlfile" xmlns:udcp2p="http://schemas.microsoft.com/data/udc/parttopart" xmlns:wf="http://schemas.microsoft.com/sharepoint/soap/workflow/" xmlns:dsss="http://schemas.microsoft.com/office/2006/digsig-setup" xmlns:dssi="http://schemas.microsoft.com/office/2006/digsig" xmlns:mdssi="http://schemas.openxmlformats.org/package/2006/digital-signature" xmlns:mver="http://schemas.openxmlformats.org/markup-compatibility/2006" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns:mrels="http://schemas.openxmlformats.org/package/2006/relationships" xmlns:spwp="http://microsoft.com/sharepoint/webpartpages" xmlns:ex12t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:ex12m="http://schemas.microsoft.com/exchange/services/2006/messages" xmlns:pptsl="http://schemas.microsoft.com/sharepoint/soap/SlideLibrary/" xmlns:spsl="http://microsoft.com/webservices/SharePointPortalServer/PublishedLinksService" xmlns:Z="urn:schemas-microsoft-com:" xmlns:st="&#1;" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>There seem 3 main technical choices, for _<i>mainstream</i>_ failure
engineering addressing OPs (or suspension/cessation of assertion-minting privileges
by the OP, under its terms of service).<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>RPs normally bind multiple openids to the account<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>RPs host a new vanity XRDS, delegating to both the introducing
OP and to at least itself (as a fallback &nbsp;OP)<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>RPs offer account recovery/restoration, based on some or other
authentication scheme<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>My wife just had an unpleasant ebay experience, leading ebay to
suspend her account after 3 years happy-ebaying (after some merchant made a (dubious
in my independent view) allegation, but who played the trust game under ebay&#8217;s
reputation rules MUCH better than she did). Loss of the ebay auction privileges
was no great shakes (Peter is less poor this month, than last). But &#8230;Ah,
sorry.! Now No more access to &#8220;your&#8221; photos on photoshare.com &nbsp;for
you , dear _<i>former</i>_ ebay-susbcriber. <o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span
style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Andrew Arnott
[mailto:andrewarnott@gmail.com] <br>
<b>Sent:</b> Wednesday, April 01, 2009 6:16 PM<br>
<b>To:</b> Peter Williams<br>
<b>Cc:</b> Allen Tom; general<br>
<b>Subject:</b> Re: [OpenID] Live Icons for visual recognition of IDP logos<o:p></o:p></span></p>

</div>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal>Honestly, Peter, the belly-up OP is what scares me the most
about OpenID. &nbsp;And I really like OpenID. &nbsp;As large and well-written
as <a href="http://myopenid.com">myopenid.com</a> seems to be, I'd never
recommend my less-tech-savvy family use it over <a href="http://yahoo.com">yahoo.com</a>
or <a href="http://google.com">google.com</a> as an OP because I'm not
convinced <a href="http://myopenid.com">myopenid.com</a> will be around for 25
years. &nbsp;That's why I use my &quot;vanity&quot; url. &nbsp;It's not for
vanity at all... it's for my own identity protection. &nbsp;But the vanity url
has to be at my own domain name so that no belly-up company can take down my
identity. That obviously isn't a solution that will work for my friends and
family.<o:p></o:p></p>

<div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

</div>

<div>

<p class=MsoNormal>One other problem with listing lots of popular OPs at an RP,
and that is that a user will learn to rely on his OP being shown, and even if
the OP doesn't go belly-up, if it disappears from an RP's list of logos, many
users will not know how to login any more and assume they're locked out.
&nbsp;Bad scenario.<o:p></o:p></p>

<div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

</div>

<div>

<p class=MsoNormal>Personally, I'm uncomfortable with the idea that I'm logging
in with OpenID in order to <i>avoid</i>&nbsp;a username/password and account
recovery process at an RP, and yet that RP offers an email recovery for that
account. &nbsp;That feels insecure to me. &nbsp;I want to separate my
all-unlocking email address from all my other web accounts. If someone
compromises my email address, I'd really rather they not gain access to all my
web accounts at the same time. &nbsp;So I don't want RPs to offer an account recovery
option if I use OpenID to log in. &nbsp;Let account recovery be an OP issue.<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

</div>

<div>

<p class=MsoNormal>Now if the OP goes belly-up, or locks the user out of their
account for any random reason, what recourse does the user have? &nbsp;Well, in
the real world we have government that can help us prove our identity to
various parties if we lose our driver's license or something. &nbsp;Perhaps we
need a trusted entity like that for the Internet. (I can already hear many of
you screaming).<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

</div>

<div>

<p class=MsoNormal>An alternative to relying on an OP or running your own
vanity URL is hosting your own identity on your own box. &nbsp;Too complicated
for the average joe? &nbsp;Not so much if you use InfoCard. &nbsp;InfoCard
elegantly puts complete identity control in the user's hands, and without any
risk of ever having it revoked by someone else. &nbsp;There are a couple of
problems with InfoCard as it stands today though that I see: infocards are not <i>easily
</i>transportable to other computers (yet), and if they are lost without a
backup, they're gone forever and so is your access to Internet sites. &nbsp;<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

</div>

<div>

<p class=MsoNormal>Since I don't have the perfect solution for either side,
DotNetOpenAuth's openid login popup will probably feature a couple of major
OPs, an OpenID logo, and an InfoCard logo, allowing the user to pick what
they're most comfortable with.<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal style='margin-bottom:12.0pt'><br clear=all>
--<br>
Andrew Arnott<br>
&quot;I [may] not agree with what you have to say, but I'll defend to the death
your right to say it.&quot; - Voltaire<br>
<br>
<o:p></o:p></p>

<div>

<p class=MsoNormal>On Wed, Apr 1, 2009 at 5:50 PM, Peter Williams &lt;<a
href="mailto:pwilliams@rapattoni.com">pwilliams@rapattoni.com</a>&gt; wrote:<o:p></o:p></p>

<div>

<div>

<p><span style='font-size:11.0pt;color:#1F497D'>Think about the message its
sending.</span><o:p></o:p></p>

<p><span style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p><span style='font-size:11.0pt;color:#1F497D'>Who would want to put their
family photos on a site they may not be able to access tomorrow (when some OP
goes belly-up)?</span><o:p></o:p></p>

<p><span style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p><span style='font-size:11.0pt;color:#1F497D'>Surely an RP needs to assure
its users that there exists the means to replace the OP? The dotcom bust taught
us that lots of service&nbsp; companies do infact go belly-up, in the usual boom/bust
cycle.</span><o:p></o:p></p>

<p><span style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p><span style='font-size:11.0pt;color:#1F497D'>Would be strange if the UCI
mission of openid facilitates data and identity portability, but then the
failure engineering of the overall service still means you can STILL easily
lose access.</span><o:p></o:p></p>

<p><span style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p><span style='font-size:11.0pt;color:#1F497D'>Presumably, the RP might retain
&nbsp;the users email address(es) from the sreg handoff, so it can send
access-recovery URLs &nbsp;granting the users access WITHOUT using any of
registered OP(s) for the account.</span><o:p></o:p></p>

<p><span style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p><b><span style='font-size:10.0pt'>From:</span></b><span style='font-size:
10.0pt'> <a href="mailto:general-bounces@openid.net" target="_blank">general-bounces@openid.net</a>
[mailto:<a href="mailto:general-bounces@openid.net" target="_blank">general-bounces@openid.net</a>]
<b>On Behalf Of </b>Andrew Arnott<br>
<b>Sent:</b> Wednesday, April 01, 2009 5:39 PM<br>
<b>To:</b> Allen Tom<br>
<b>Cc:</b> general<br>
<b>Subject:</b> Re: [OpenID] Live Icons for visual recognition of IDP logos</span><o:p></o:p></p>

</div>

</div>

<p>&nbsp;<o:p></o:p></p>

<div>

<p><span style='color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p><b><i><span style='font-size:11.0pt;color:#1F497D'>[Peter Williams] </span></i></b><o:p></o:p></p>

<div>

<p>whether they trust them to just not go belly-up and thereby locking out
their users from their accounts at that RP, some trust should be implied by an
RP listing OP logos. &nbsp;<o:p></o:p></p>

</div>

</div>

<div>

<p>&nbsp;<o:p></o:p></p>

</div>

<div>

<p>&nbsp;<o:p></o:p></p>

</div>

</div>

</div>

</div>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

</div>

</div>

</div>

</div>

</body>

</html>