<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Instead of burdening us with more defined terms that are used only
    once here, I would concur that we ought to do a direct word
    replacement like Nat suggests below. So the text in 16.4 Offline
    Access would become:<br>
    <br>
    <br>
    <br>
    <blockquote>
      <p> When an Access Token is returned <b>via the user agent using
          the implicit or hybrid flow</b>, there is a greater risk of it
        being exposed to an attacker, who could later use it to access
        the UserInfo endpoint. If the Access Token does not enable
        offline access and the server can differentiate whether the
        Client request has been made offline or online, the risk will be
        substantially reduced. Therefore, this specification mandates
        ignoring the offline access request when the Access Token is
        transmitted <b>through the user agent</b><b></b>. Note that
        differentiating between online and offline access from the
        server can be difficult, especially for native clients. The
        server may well have to rely on heuristics. Also, the risk of
        exposure for the Access Token delivered <b>through the user
          agent</b> for the response types of <tt>code token</tt> and <tt>token</tt>
        is the same. Thus, the implementations should be prepared to
        detect <b>whether the Access Token was issued through the user
          agent or directly through from the Token Endpoint</b> and deny
        offline access if the token was issued <b>through the user
          agent</b>. </p>
      <br>
    </blockquote>
     -- Justin<br>
    <br>
    <div class="moz-cite-prefix">On 11/20/2013 02:53 AM, n-sakimura
      wrote:<br>
    </div>
    <blockquote cite="mid:528C6A69.6070902@nri.co.jp" type="cite">
      <meta http-equiv="Content-Type" content="text/html;
        charset=ISO-8859-1">
      <div class="moz-cite-prefix">I suppose it was taken from SP800-63
        or so. <br>
        Anyways, we should define them or replace them with more direct
        wordings. <br>
        <br>
        Front channel essentially, as you are aware of, is the
        communication through the user agent. <br>
        Back channel is the direct communication between the client and
        the server. <br>
        <br>
        Any volunteer for the definition wordings? <br>
        <br>
        Nat<br>
        <br>
        (2013/11/20 3:54), Mike Jones wrote:<br>
      </div>
      <blockquote
cite="mid:4E1F6AAD24975D4BA5B168042967394377E95C88@TK5EX14MBXC286.redmond.corp.microsoft.com"
        type="cite">
        <meta http-equiv="Context-Type" content="text/html;
          charset=us-ascii">
        <meta name="Generator" content="Microsoft Word 14 (filtered
          medium)">
        <div class="WordSection1">
          <p class="MsoNormal">We use the terms “front channel” and
            “back channel” in the Security Considerations but never
            define them.  Does anyone have a definition?</p>
          <p class="MsoNormal"> </p>
          <p class="MsoNormal">                                                           

            -- Mike</p>
          <p class="MsoNormal"> </p>
        </div>
        <br>
        <fieldset class="mimeAttachmentHeader"></fieldset>
        <br>
        <pre wrap="">_______________________________________________
Openid-specs-ab mailing list
<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a>
<a moz-do-not-send="true" class="moz-txt-link-freetext" href="http://lists.openid.net/mailman/listinfo/openid-specs-ab">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a>
</pre>
      </blockquote>
      <br>
      <br>
      <pre class="moz-signature" cols="72">-- 
Nat Sakimura (<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:n-sakimura@nri.co.jp">n-sakimura@nri.co.jp</a>)
Nomura Research Institute, Ltd. 
<a moz-do-not-send="true" class="moz-txt-link-freetext" href="Tel:+81-3-6274-1412">Tel:+81-3-6274-1412</a> Fax:+81-3-6274-1547

本メールに含まれる情報は機密情報であり、宛先に記載されている方のみに送信することを意図しております。意図された受取人以外の方によるこれらの情報の開示、複製、再配布や転送など一切の利用が禁止されています。誤って本メールを受信された場合は、申し訳ござ&#1235
 ;
 6;|
14;せんが、送信者までお知らせいただき、受信されたメールを削除していただきますようお願い致します。
PLEASE READ:
The information contained in this e-mail is confidential and intended for the named recipient(s) only.
If you are not an intended recipient of this e-mail, you are hereby notified that any review, dissemination, distribution or duplication of this message is strictly prohibited. If you have received this message in error, please notify the sender immediately and delete your copy from your system.
</pre>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Openid-specs-ab mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a>
<a class="moz-txt-link-freetext" href="http://lists.openid.net/mailman/listinfo/openid-specs-ab">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>