
<div dir="ltr">IMHO, basically, it does not have to be one-time but it should be very short lived. <div>I am a bit concerned about how long the client keep the secret securing against an attacker as well as the server's ability to maintain the client state. If the server can store the state for these client, then we could have used generated client secret to start with. </div>

<div><br></div><div>Nat</div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/7/29 Torsten Lodderstedt <span dir="ltr"><<a href="mailto:torsten@lodderstedt.net" target="_blank">torsten@lodderstedt.net</a>></span><br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Is this secret intended for one-time use only?</div><div><br>Am 29.07.2013 um 08:29 schrieb Nat Sakimura <<a href="mailto:sakimura@gmail.com" target="_blank">sakimura@gmail.com</a>>:<br>

<br></div><div><div class="h5"><blockquote type="cite"><div><div dir="ltr">I have thought of that, and I do not think so. <div>Adding salt amounts to expanding the entropy of the input string. </div><div>So, having enough bit length in the transient secret to start with has the same effect. </div>


<div>Since the validity period of the transient secret is rather short, you cannot do the offline attack. </div><div>The attacker has to have the rainbow table to start with. </div><div><br></div><div>What we want to make sure is that len(tcs) > max_len(available rainbow table). </div>


<div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/7/29 John Bradley <span dir="ltr"><<a href="mailto:ve7jtb@ve7jtb.com" target="_blank">ve7jtb@ve7jtb.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div style="word-wrap:break-word">Thinking about it overnight we need to also have a salt sent with the hash, to prevent rainbow tables attacks.<div><br><div><div><div><div>On 2013-07-28, at 9:39 PM, Nat Sakimura <<a href="mailto:sakimura@gmail.com" target="_blank">sakimura@gmail.com</a>> wrote:</div>


<br></div></div><blockquote type="cite"><div><div><div dir="ltr">As some of you knows, passing the code securely to a native app on iOS platform is next to impossible. Malicious application may register the same custom scheme as the victim application and hope to obtain the code, whose success rate is rather high. <div>


<br></div><div>We have discussed about it during the OpenID Conenct Meeting at IETF 87 today, and I have captured the discussion in the form of I-D. It is pretty short and hopefully easy to read. </div><div><br></div><div>


You can find it at: </div><div><br></div><div><a href="https://bitbucket.org/Nat/drafts/src/" target="_blank">https://bitbucket.org/Nat/drafts/src/</a></div><div><br></div><div>Comments are welcome. </div><div><div><br></div>


-- <br>Nat Sakimura (=nat)<div>

Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>

</div></div></div></div>

_______________________________________________<br>Openid-specs-ab mailing list<br><a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>


</blockquote></div><br></div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>


@_nat_en</div>

</div>

</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Openid-specs-ab mailing list</span><br><span><a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a></span><br>

<span><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a></span><br></div></blockquote></div></div></div></blockquote></div><br><br clear="all">

<div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>

</div>