Allen,<div><br></div><div>It sounds like you&#39;re proposing that an RP trust the email claim from an OP if the domain of the OP and the domain of the email match.  Is that right?  If so, what&#39;s to stop me from setting my myrogueOP.com, and asserting an email claim for myinvalidemail@myrogueOP.com and getting into web sites without a valid email address?<br clear="all">

--<br>Andrew Arnott<br>&quot;I [may] not agree with what you have to say, but I&#39;ll defend to the death your right to say it.&quot; - Voltaire<br>
<br><br><div class="gmail_quote">On Mon, Apr 6, 2009 at 9:34 PM, Allen Tom <span dir="ltr">&lt;<a href="mailto:atom@yahoo-inc.com">atom@yahoo-inc.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">




  

<div bgcolor="#ffffff" text="#000000">
Currently, Google OpenID users can be exempted from Email verification
when the Google OP returns an @<a href="http://gmail.com" target="_blank">gmail.com</a> address, because the Google OP
will only return the @<a href="http://gmail.com" target="_blank">gmail.com</a> address that is tied to the Google
Account.<br>
<br>
If we generalize this, if the RP trusts the user&#39;s email provider to
always assert the user&#39;s true email address, then why wouldn&#39;t an RP
trust the OP to always return a valid disposable email address?<br><font color="#888888">
<br>
Allen</font><div><div></div><div class="h5"><br>
<br>
<br>
Andrew Arnott wrote:
<blockquote type="cite">True. This is a model I thought of a while back, when some
credit cards started generating one-time-use credit card numbers for
use when shopping online.  I think this has a much higher chance of
working for people, although it doesn&#39;t at all solve the problem of
RP&#39;s needing to send the user through email verification.<br clear="all">
--<br>
Andrew Arnott<br>
&quot;I [may] not agree with what you have to say, but I&#39;ll defend to the
death your right to say it.&quot; - Voltaire<br>
  <br>
  <br>
  <div class="gmail_quote">On Mon, Apr 6, 2009 at 8:42 PM, Allen Tom <span dir="ltr">&lt;<a href="mailto:atom@yahoo-inc.com" target="_blank">atom@yahoo-inc.com</a>&gt;</span>
wrote:<br>
  <blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex">
    <div><br>
Andrew Arnott wrote:<br>
&gt;<br>
&gt; Thanks.  Incidentally, the grief I have with Facebook is that I
have<br>
&gt; to visit Facebook in order to pick up my &quot;mail&quot; which may just be a<br>
&gt; poke or prod.  *grumble*  But yes, I&#39;d like to see us provide a<br>
&gt; general solution.  And my personal queuing SP of choice would
likely<br>
&gt; be one that sends copies of my messages in the email it sends me,
as<br>
&gt; well as organizes them within its own web site for my review later.<br>
&gt;<br>
    <br>
    </div>
What if the OP generated a unique disposable email address for each RP<br>
that the user wants to allow email, and the OP just forwards it on to<br>
the user&#39;s real mailbox (or cell phone or IM, depending on the user&#39;s<br>
preference). If and when the user no longer wants to receive messages<br>
from the RP, the user can just deactivate the disposable email address.<br>
    <br>
This might be easier to deploy than defining a standard messaging API<br>
and putting OAuth in front of it.<br>
    <font color="#888888"><br>
Allen<br>
    </font>
    <div>
    <div><br>
    <br>
    <br>
    </div>
    </div>
  </blockquote>
  </div>
  <br>
  <br>
  <br>
</blockquote>
<br>
<br>
--~--~---------~--~----~------------~-------~--~----~<br>
You received this message because you are subscribed to the Google Groups &quot;OAuth&quot; group. <br> To post to this group, send email to <a href="mailto:oauth@googlegroups.com" target="_blank">oauth@googlegroups.com</a> <br>

 To unsubscribe from this group, send email to <a href="mailto:oauth%2Bunsubscribe@googlegroups.com" target="_blank">oauth+unsubscribe@googlegroups.com</a> <br> For more options, visit this group at <a href="http://groups.google.com/group/oauth?hl=en" target="_blank">http://groups.google.com/group/oauth?hl=en</a><br>


-~----------~----~----~----~------~----~------~--~---<br>
</div></div></div>

<br>
</blockquote></div><br></div>