Without a trust framework though, an OP or user&#39;s claim to an RP that an OP fits the RP&#39;s requirements is worthless.  Thus whitelisting is the only way an RP can be sure, given the current infrastructure (none).<br clear="all">

--<br>Andrew Arnott<br>&quot;I [may] not agree with what you have to say, but I&#39;ll defend to the death your right to say it.&quot; - Voltaire<br>
<br><br><div class="gmail_quote">On Tue, Apr 14, 2009 at 1:20 PM, Rabbit <span dir="ltr">&lt;<a href="mailto:rabbit@cyberpunkrock.com">rabbit@cyberpunkrock.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

I feel there is a huge difference. The RP is not enforcing a policy constraint. The policy compliance is purely circumstantial due to the fact the RP has required only specific OPs can be used.<br>
<br>
This is what I meant when I said &quot;OpenID is not about the RP. It&#39;s about the User&quot;. The User should be able to say &quot;Unknown OP is able to comply with your policy constraints.&quot; and the RP can respond &quot;I see that it does! ok, you may use that OP which I had previously never heard of.&quot; without having that be an actual e-mail correspondence (because obviously humans are already user-centric).<br>


<br>
I&#39;m very weary of whitelists. They&#39;re pessimistic and authoritarian. If an RP wishes to enforce a policy constraint such as &quot;requires verified e-mail&quot; they should not simply cherry pick providers they know that are able to conform to that constraint.<br>

<font color="#888888">
<br>
=Rabbit</font><div><div></div><div class="h5"><br>
<br>
<br>
<br>
On Apr 14, 2009, at 10:06 AM, Peter Williams wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Think about the model tho: is this any different to an OP that refuses to deal with RP realms that don&#39;t fit its policy, or requires RP&#39;s to &quot;pre--register&quot;, or requires an RP to bind to particular legal copyright terms (that are offensive to many), or &quot;give notice&quot; by binding the assertion to an https cert (bearing copyright notice, and binding to an relying party agreement or other governance regime)? I cannot imagine in the Japan market anyone even blinking twice at such a constraint - limiting assertion requesting/making to particular trading groups. If that&#39;s all fine in Japan, its fine in Santosh-land.<br>


<br>
The best technical way for Santosh to assert his policy would be to declare a vendor-specific PAPE URL, publish its policy (email identity verification required) on the URL (making it thus resolvable), always include the policy requirement in assertion requests, and always enforce the PAPE assertion policy requirement on handling the assertion. If he does this, the system is 100% openid - as between trust impositions and PAPE requirements, the system is exploiting the very mechanism the standard provides for such controls.<br>


<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
-----Original Message-----<br>
From: <a href="mailto:general-bounces@openid.net" target="_blank">general-bounces@openid.net</a> [mailto:<a href="mailto:general-" target="_blank">general-</a><a href="mailto:bounces@openid.net" target="_blank">bounces@openid.net</a>] On<br>


Behalf Of Santosh Rajan<br>
Sent: Monday, April 13, 2009 10:26 PM<br>
To: <a href="mailto:general@openid.net" target="_blank">general@openid.net</a><br>
Subject: Re: [OpenID] An alternative OpenID UX<br>
<br>
<br>
You Cant<br>
<br>
<br>
Chris Messina wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I&#39;m a little confused by the UI.<br>
What if I want to use my own self-provided OpenID?<br>
<br>
Chris<br>
<br>
On Mon, Apr 13, 2009 at 8:44 PM, Santosh Rajan &lt;<a href="mailto:santrajan@gmail.com" target="_blank">santrajan@gmail.com</a>&gt;<br>
wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
PS:<br>
It also sets a cookie so that the next time on it will show you your<br>
selected Account in the button.<br>
<br>
<br>
Santosh Rajan wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I am working on an OpenID UX with the following objectives.<br>
1) Make it as simple as possible for the user under the<br>
</blockquote></blockquote></blockquote>
circumstances.<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


2) RP&#39;s don&#39;t have to bother about authentication and<br>
</blockquote></blockquote></blockquote>
verification.<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
They<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
get an authenticated user with a verified email address.<br>
<br>
You can see it here<br>
<a href="http://myfeeds.myofiz.com" target="_blank">http://myfeeds.myofiz.com</a> <a href="http://myfeeds.myofiz.com" target="_blank">http://myfeeds.myofiz.com</a><br>
<br>
I would like to add more OP&#39;s to this. But I am not sure if they<br>
</blockquote>
provide<br>
a<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
verified email address.<br>
<br>
Your comments and feedback will be usefull.<br>
<br>
<br>
<br>
<br>
</blockquote>
<br>
--<br>
View this message in context:<br>
<a href="http://www.nabble.com/An-alternative-OpenID-UX-" target="_blank">http://www.nabble.com/An-alternative-OpenID-UX-</a><br>
</blockquote></blockquote>
tp23032699p23032765.html<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Sent from the OpenID - General mailing list archive at Nabble.com.<br>
<br>
_______________________________________________<br>
general mailing list<br>
<a href="mailto:general@openid.net" target="_blank">general@openid.net</a><br>
<a href="http://openid.net/mailman/listinfo/general" target="_blank">http://openid.net/mailman/listinfo/general</a><br>
<br>
</blockquote>
<br>
<br>
<br>
--<br>
Chris Messina<br>
Citizen-Participant &amp;<br>
Open Web Advocate<br>
<br>
<a href="http://factoryjoe.com" target="_blank">factoryjoe.com</a> // <a href="http://diso-project.org" target="_blank">diso-project.org</a> // <a href="http://vidoop.com" target="_blank">vidoop.com</a><br>
This email is:   [ ] bloggable    [X] ask first   [ ] private<br>
<br>
_______________________________________________<br>
general mailing list<br>
<a href="mailto:general@openid.net" target="_blank">general@openid.net</a><br>
<a href="http://openid.net/mailman/listinfo/general" target="_blank">http://openid.net/mailman/listinfo/general</a><br>
<br>
<br>
</blockquote>
<br>
--<br>
View this message in context: <a href="http://www.nabble.com/An-alternative-" target="_blank">http://www.nabble.com/An-alternative-</a><br>
OpenID-UX-tp23032699p23033453.html<br>
Sent from the OpenID - General mailing list archive at Nabble.com.<br>
<br>
_______________________________________________<br>
general mailing list<br>
<a href="mailto:general@openid.net" target="_blank">general@openid.net</a><br>
<a href="http://openid.net/mailman/listinfo/general" target="_blank">http://openid.net/mailman/listinfo/general</a><br>
</blockquote>
_______________________________________________<br>
general mailing list<br>
<a href="mailto:general@openid.net" target="_blank">general@openid.net</a><br>
<a href="http://openid.net/mailman/listinfo/general" target="_blank">http://openid.net/mailman/listinfo/general</a><br>
</blockquote>
<br>
_______________________________________________<br>
general mailing list<br>
<a href="mailto:general@openid.net" target="_blank">general@openid.net</a><br>
<a href="http://openid.net/mailman/listinfo/general" target="_blank">http://openid.net/mailman/listinfo/general</a><br>
</div></div></blockquote></div><br>