<div dir="ltr">On Fri, Jun 7, 2013 at 11:51 AM, John Bradley <span dir="ltr"><<a href="mailto:ve7jtb@ve7jtb.com" target="_blank">ve7jtb@ve7jtb.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">I am assuming that normal %decoding of the URI string passed as a parameter is done before the comparison.</div>
</blockquote><div><br></div><div>John, comparing URIs is hard. Seriously, go read RFC3986 section 6.2. -T<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div style="word-wrap:break-word"><div><br></div><div><div><div class="im"><div>On 2013-06-07, at 8:39 PM, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>> wrote:</div>
<br></div><blockquote type="cite"><div link="blue" vlink="purple" style="font-family:Helvetica;font-size:medium;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px" lang="EN-US">
<div><div class="im"><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">So you’re advocating copying the definition in Messages to Standard and deleting the words “</span><span style="font-family:Verdana,sans-serif" lang="EN">the Scheme, Host, and Path segments of</span><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">” from Registration, correct?  If not, please supply alternative exact wording.<u></u><u></u></span></div>
<div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"> </span></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
<span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">                                                            -- Mike<u></u><u></u></span></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
<span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"> </span></div><div><div style="border-style:solid none none;border-top-width:1pt;border-top-color:rgb(181,196,223);padding:3pt 0in 0in"><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
<b><span style="font-size:10pt;font-family:Tahoma,sans-serif">From:</span></b><span style="font-size:10pt;font-family:Tahoma,sans-serif"><span> </span>John Bradley [mailto:<a href="mailto:ve7jtb@" target="_blank">ve7jtb@</a><a href="http://ve7jtb.com" target="_blank">ve7jtb.com</a>]<span> </span><br>
<b>Sent:</b><span> </span>Friday, June 07, 2013 11:33 AM<br><b>To:</b><span> </span>Tim Bray<br><b>Cc:</b><span> </span>Mike Jones; <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a><br>
<b>Subject:</b><span> </span>Re: [Openid-specs-ab] Inconsistency in redirect_uri definitions<u></u><u></u></span></div></div></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
<u></u> <u></u></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">Google is comparing them as strings requiring an exact match as I understand it.<u></u><u></u></div><div>
<div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><u></u> <u></u></div></div><div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
Anything other than an exact match of the the string of octets is likely to fail with some IdP.  It would be nice to do URI to URI comparisons but that tends to have interoperability problems.   From a security point of view Standard is correct and should be copied to the other specs.<u></u><u></u></div>
</div><div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><u></u> <u></u></div></div><div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
>From an interoperability point of view saying it is an exact match of the octets may save a bunch of interoperability issues,.<u></u><u></u></div></div><div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
<u></u> <u></u></div></div><div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">Pointing to RFC3986 for comparison rules saying we are not doing normalization and will perform a comparison of the UTF8 code-points to be more specific.<u></u><u></u></div>
</div><div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><u></u> <u></u></div></div><div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
John<u></u><u></u></div></div></div><div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><u></u> <u></u></div><div><div class="im"><div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
On 2013-06-07, at 7:45 PM, Tim Bray <<a href="mailto:tbray@textuality.com" style="color:purple;text-decoration:underline" target="_blank">tbray@textuality.com</a>> wrote:<u></u><u></u></div></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
<br><br><u></u><u></u></div><div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">When you say “match Standard” you mean referring to the enumeration of scheme/host/path/query, I assume.  As opposed to the reference to dynamic client registration?  BTW RFC3986 section 6.2 (<a href="http://tools.ietf.org/html/rfc3986#section-6.2" style="color:purple;text-decoration:underline" target="_blank">http://tools.ietf.org/html/rfc3986#section-6.2</a>) has useful material on URI comparison. You could simply refer to 6.2.1 and omit the enumeration.<u></u><u></u></div>
</div></div><div><p class="MsoNormal" style="margin:0in 0in 12pt;font-size:12pt;font-family:'Times New Roman',serif"><u></u> <u></u></p><div><div class="im"><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
On Fri, Jun 7, 2013 at 10:33 AM, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" style="color:purple;text-decoration:underline" target="_blank">Michael.Jones@microsoft.com</a>> wrote:<u></u><u></u></div></div>
<div><div class="im"><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">While working on the spelling and grammar check, I noticed the following in redirect_uri definitions.  While I hate to bring this up while we’re trying to finish the Implementer’s Drafts, this is potentially a recall-class issue, so I wanted to raise it now, rather than have it come up later.<u></u><u></u></div>
<div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"> <u></u><u></u></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">Messages, Basic, and Implicit say:<u></u><u></u></div>
<div style="margin:0in 0in 0.0001pt 0.5in;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-family:Verdana,sans-serif" lang="EN">redirect_uri</span><u></u><u></u></div><div style="margin:0in 0in 0.0001pt 1in;font-size:12pt;font-family:'Times New Roman',serif">
<span style="font-family:Verdana,sans-serif" lang="EN">REQUIRED. Redirection URI to which the response will be sent. This MUST be pre-registered with the OpenID Provider.</span><u></u><u></u></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
 <u></u><u></u></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">Standard says:<u></u><u></u></div><div style="margin:0in 0in 0.0001pt 0.5in;font-size:12pt;font-family:'Times New Roman',serif">
<span style="font-family:Verdana,sans-serif" lang="EN">redirect_uri</span><u></u><u></u></div></div><div style="margin:0in 0in 0.0001pt 1in;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-family:Verdana,sans-serif" lang="EN">REQUIRED. Redirection URI to which the response will be sent. The Scheme, Host, Path, and Query Parameter segments of this URI MUST match one of the<span> </span></span><tt style="font-family:'Courier New'"><span lang="EN">redirect_uris</span></tt><span style="font-family:Verdana,sans-serif" lang="EN"><span> </span>registered for the</span><tt style="font-family:'Courier New'"><span lang="EN">client_id</span></tt><span style="font-family:Verdana,sans-serif" lang="EN"><span> </span>in the OpenID Connect Dynamic Client Registration 1.0 [OpenID.Registration] specification.</span><u></u><u></u></div>
<div class="im"><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"> <u></u><u></u></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
Dynamic Registration says:<u></u><u></u></div><div style="margin:0in 0in 0.0001pt 0.5in;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-family:Verdana,sans-serif" lang="EN">redirect_uris</span><u></u><u></u></div>
<div style="margin:0in 0in 0.0001pt 1in;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-family:Verdana,sans-serif" lang="EN">REQUIRED. Array of redirection URIs values used in the Authorization Code and Implicit grant types. One of these registered redirection URI values MUST match the Scheme, Host, and Path segments of the<span> </span></span><span style="font-family:'Courier New';color:rgb(0,51,102)" lang="EN">redirect_uri</span><span style="font-family:Verdana,sans-serif" lang="EN"><span> </span>parameter value used in each Authorization Request.</span><u></u><u></u></div>
<div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"> <u></u><u></u></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">Should Messages, Basic, and Implicit be changed to match Standard?  That’s my sense of the situation, but wanted to get others’ input before doing so.<u></u><u></u></div>
<div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"> <u></u><u></u></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">                                                            Thanks,<u></u><u></u></div>
<div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">                                                            -- Mike<u></u><u></u></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
 <u></u><u></u></div></div></div><div class="im"><p class="MsoNormal" style="margin:0in 0in 12pt;font-size:12pt;font-family:'Times New Roman',serif"><br>_______________________________________________<br>Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" style="color:purple;text-decoration:underline" target="_blank">Openid-specs-ab@lists.openid.net</a><br><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" style="color:purple;text-decoration:underline" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><u></u><u></u></p>
</div></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><u></u> <u></u></div></div><div class="im"><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
_______________________________________________<br>Openid-specs-ab mailing list<br><a href="mailto:Openid-specs-ab@lists.openid.net" style="color:purple;text-decoration:underline" target="_blank">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" style="color:purple;text-decoration:underline" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><u></u><u></u></div></div></div>
<p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"></p></div></div></div></blockquote></div><br></div></div></blockquote></div><br></div></div>