Peter,<div><br></div><div>I agree with all your points.  The &quot;huh?&quot; and &quot;what?&quot; comments were the responses that most web surfers will give you if confronted with those points as you&#39;ve worded them.  If these were to be posted to this Facebook Group, we&#39;d have to reword these, probably as entire scenarios that people could read and relate to.</div>

<div><br clear="all">--<br>Andrew Arnott<br>&quot;I [may] not agree with what you have to say, but I&#39;ll defend to the death your right to say it.&quot; - Voltaire<br>
<br><br><div class="gmail_quote">On Mon, Apr 13, 2009 at 9:14 PM, Peter Williams <span dir="ltr">&lt;<a href="mailto:pwilliams@rapattoni.com">pwilliams@rapattoni.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">










<div lang="EN-US" link="blue" vlink="purple">

<div>

<p><span style="font-size:11.0pt;color:#1F497D"> </span></p>

<p><span style="font-size:11.0pt;color:#1F497D"> </span></p>

<div style="border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt">

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p><b><span style="font-size:10.0pt">From:</span></b><span style="font-size:10.0pt"> Andrew Arnott
[mailto:<a href="mailto:andrewarnott@gmail.com" target="_blank">andrewarnott@gmail.com</a>] <br>
<b>Sent:</b> Monday, April 13, 2009 8:55 PM<br>
<b>To:</b> Peter Williams<br>
<b>Cc:</b> Kenneth Kron; oauth; openid General</span></p><div class="im"><br>
<b>Subject:</b> Re: [OpenID] Facebook wildfire spreading of OpenID</div><p></p>

</div>

</div>

<p> </p>

<p>Peter, my parents&#39; responses inline.<br clear="all">
</p>

<div><div class="im">

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p><span style="font-size:11.0pt;color:#1F497D">What is openid’s core
value, for a parent?</span></p>

<p><span><span style="font-size:11.5pt;color:#1F497D">Here
is a few of the spins I’ve heard over the last 2 years:</span></span></p>

<p style="margin-left:1.0in;text-indent:-.5in"><span style="font-size:11.0pt;color:#1F497D">1</span><span style="font-size:7.0pt;color:#1F497D">                    
</span><span style="font-size:11.0pt;color:#1F497D">Urls are so magical that
your openid URL means you don’t need multiple passwords</span></p>

</div>

</div>

</blockquote>

</div><div>

<p>What? </p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D"> </span></i></b></p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D">[Peter Williams] Yes – the “url” hyptothesis. Because
openid is all based on the URL, websso will now work and be widely adopted (where
it doesn’t and won’t when the subject’s id is expressed in
any other form other than a URL).</span></i></b></p>

<p><span style="font-size:11.0pt;color:#1F497D"> </span></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p style="margin-left:1.0in;text-indent:-.5in"><span style="font-size:11.0pt;color:#1F497D">2</span><span style="font-size:7.0pt;color:#1F497D">                    
</span><span style="font-size:11.0pt;color:#1F497D">Addresses commenting spam</span></p>

</div>

</div>

</blockquote>

<div>

<p>What? </p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D"> </span></i></b></p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D"> [Peter Williams]  yes, Ive heard it said that a motive
for the original authenticated comments application of openid is was to ensure
that only trusted commentators (i.e. the comment is supported by an trustworthy
assertion) would have the privilege of posting public comments – so a
blog would not be filled with comment spam.</span></i></b></p>

<p><span style="font-size:11.0pt;color:#1F497D"> </span></p>

</div><div class="im">

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p style="margin-left:1.0in;text-indent:-.5in"><span style="font-size:11.0pt;color:#1F497D">3</span><span style="font-size:7.0pt;color:#1F497D">                    
</span><span style="font-size:11.0pt;color:#1F497D">Brings PGP’s web of
trust to life, though linkup with ebay-reputation systems</span></p>

</div>

</div>

</blockquote>

</div><div>

<p>Huh? </p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D"> </span></i></b></p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D"> [Peter Williams] yes +1, -19, ++4. Ive heard it said that
the trust model that openid will evolve to (seeing as https is not really
openid-friendly) will exploit reputation frameworks. Associated with an
assertion will be a reputation, shared in RP affiliation communities. openid becomes
viable when reputation becomes a managed infrastructure. (OASIS even chartered a
group to focus on this, if I recall).</span></i></b></p>

<p><span style="font-size:11.0pt;color:#1F497D"> </span></p>

</div><div class="im">

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p style="margin-left:1.0in;text-indent:-.5in"><span style="font-size:11.0pt;color:#1F497D">4</span><span style="font-size:7.0pt;color:#1F497D">                    
</span><span style="font-size:11.0pt;color:#1F497D">Easy signup to new accounts</span></p>

</div>

</div>

</blockquote>

</div><div>

<p>Oh!  Cool. </p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D"> </span></i></b></p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D">[Peter Williams]  yes. I’ve heard to explained that RP’s
will perform identity management, and during signup attribute from an OP will
be transferred to the new account at the RP. I’ve also heard the
opposite: the best and “most promising” RPs will not maintain
accounts, have no local login, and ONLY ever create sessions in response to an
openid assertion.</span></i></b></p>

<p><span style="font-size:11.0pt;color:#1F497D"> </span></p>

</div><div class="im">

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p style="margin-left:1.0in;text-indent:-.5in"><span style="font-size:11.0pt;color:#1F497D">5</span><span style="font-size:7.0pt;color:#1F497D">                    
</span><span style="font-size:11.0pt;color:#1F497D">Get portability of
identity, like with your phone number</span></p>

</div>

</div>

</blockquote>

</div><div><div class="im">

<p>Umm... phone number I know.  But what&#39;s portable
identity? </p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D"> </span></i></b></p>

</div><p><b><i><span style="font-size:11.0pt;color:#1F497D">[Peter Williams]  I heard it said that openid was all about
ensuring that having bound an openid to an RP to get some service, one could then
migrate from one assertion making party to another, and there would be no
impact on your relationship with that RP. This is like having the relatively
new right to transfer a phone number between carriers, rather than the older world
in which carriers captured subscribers because there erected a barrier to
exiting their plan (you lost your contacts, as the phone number “belonged
to” the carrier, not you)</span></i></b><span style="font-size:11.0pt;color:#1F497D"></span></p>

</div><div class="im">

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p style="margin-left:1.0in;text-indent:-.5in"><span style="font-size:11.0pt;color:#1F497D">6</span><span style="font-size:7.0pt;color:#1F497D">                    
</span><span style="font-size:11.0pt;color:#1F497D">Addresses privacy policies
 through explicit consent</span></p>

</div>

</div>

</blockquote>

</div><div>

<p>um... privacy is good.</p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D"> </span></i></b></p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D">[Peter Williams] I’ve heard it said that openid is ONLY
about the browser world, as ONLY in the browser world do you get UI that facilitates
explicit management of consent –and a point at which one can control
which attributes are release to which (more or less trusted) parties (under your
personal privacy regime). ONLY if there is “special” class of ui
can openid work project the security one needs, and it MUST involve address
bars.</span></i></b></p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D"> </span></i></b></p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D"> </span></i></b></p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D">Yes.. all those things above have been hinted at as being among
the unique “value points” of openid (vs any other websso scheme).
Most of them reflect social benefits, or convenience features.</span></i></b></p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D"> </span></i></b></p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D"> </span></i></b></p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D">I forgot another common claim, earlier, of course. The Openid movement
[generally] solves phishing.</span></i></b></p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D"> </span></i></b></p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D"> </span></i></b></p>

<p><b><i><span style="font-size:11.0pt;color:#1F497D"> </span></i></b></p>

<p><span style="font-size:11.0pt;color:#1F497D"> </span></p>

</div>

</div>

</div>

</div>

</div>


</blockquote></div><br></div>