<font size=2 face="sans-serif">I'm sorry that I missed the discussion.</font>
<br>
<br><font size=2 face="sans-serif">> </font><font size=2 face="Calibri"> 
             Breno asked whether having
RPs have logout notification endpoints wouldn't work better in some cases</font>
<br>
<br><font size=2 face="sans-serif">Our implementation augments the client
registration spec with a "signout_callback_uri" for this purpose.<br>
</font>
<br>
<table width=223 style="border-collapse:collapse;">
<tr height=8>
<td width=223 bgcolor=white style="border-style:solid;border-color:#000000;border-width:0px 0px 0px 0px;padding:0px 0px;"><font size=1 face="Verdana"><b><br>
<br>
<br>
Todd Lainhart<br>
Rational software<br>
IBM Corporation<br>
550 King Street, Littleton, MA 01460-1250</b></font><font size=1 face="Arial"><b><br>
1-978-899-4705<br>
2-276-4705 (T/L)<br>
lainhart@us.ibm.com</b></font></table>
<br>
<br>
<br>
<br>
<br><font size=1 color=#5f5f5f face="sans-serif">From:      
 </font><font size=1 face="sans-serif">Mike Jones <Michael.Jones@microsoft.com></font>
<br><font size=1 color=#5f5f5f face="sans-serif">To:      
 </font><font size=1 face="sans-serif">"openid-specs-ab@lists.openid.net"
<openid-specs-ab@lists.openid.net>, </font>
<br><font size=1 color=#5f5f5f face="sans-serif">Date:      
 </font><font size=1 face="sans-serif">02/10/2014 06:55 PM</font>
<br><font size=1 color=#5f5f5f face="sans-serif">Subject:    
   </font><font size=1 face="sans-serif">[Openid-specs-ab]
Spec call notes 10-Feb-14</font>
<br><font size=1 color=#5f5f5f face="sans-serif">Sent by:    
   </font><font size=1 face="sans-serif">openid-specs-ab-bounces@lists.openid.net</font>
<br>
<hr noshade>
<br>
<br>
<br><font size=2 face="Calibri">Spec call notes 10-Feb-14</font>
<br><font size=2 face="Calibri"> </font>
<br><font size=2 face="Calibri">John Bradley</font>
<br><font size=2 face="Calibri">Edmund Jay</font>
<br><font size=2 face="Calibri">Mike Jones</font>
<br><font size=2 face="Calibri"> </font>
<br><font size=2 face="Calibri">Agenda:</font>
<br><font size=2 face="Calibri">           
   Connect Voting</font>
<br><font size=2 face="Calibri">           
   Open Issues</font>
<br><font size=2 face="Calibri">           
   Future Meetings</font>
<br><font size=2 face="Calibri">           
   Session Management</font>
<br><font size=2 face="Calibri">           
   Interactive Client Registration</font>
<br><font size=2 face="Calibri">           
   Call Schedule</font>
<br><font size=2 face="Calibri"> </font>
<br><font size=2 face="Calibri">Connect Voting:</font>
<br><font size=2 face="Calibri">           
   The voting tool will start the voting tomorrow</font>
<br><font size=2 face="Calibri">           
   It will close two weeks from then</font>
<br><font size=2 face="Calibri"> </font>
<br><font size=2 face="Calibri">Open Issues:</font>
<br><font size=2 face="Calibri">           
   #917 - space is deliminator while also a legal character in
client_id and session state</font>
<br><font size=2 face="Calibri">           
                  This seems
like a problem we'll need to address</font>
<br><font size=2 face="Calibri">           
                  Mike asked
whether the postMessage character set is ASCII or Unicode</font>
<br><font size=2 face="Calibri">           
                     
           If Unicode, we could use a non-ASCII
separator</font>
<br><font size=2 face="Calibri">           
                     
           Or we could use a different ASCII
character, such as Delete (0x7f)</font>
<br><font size=2 face="Calibri">           
                  More investigation
seems like it's needed</font>
<br><font size=2 face="Calibri">           
   #915 - Computation of OP session_state in the IdP requires
origin URI</font>
<br><font size=2 face="Calibri">           
                  Todd Lainhart
is to propose specific text</font>
<br><font size=2 face="Calibri">           
   #914 - Session 5 - Missing client_id parameter</font>
<br><font size=2 face="Calibri">           
                  This seems
to need more discussion</font>
<br><font size=2 face="Calibri">           
   #880 - Host the endpoint </font><a href="https://self-issued.me/registration/1.0/"><font size=2 face="Calibri">https://self-issued.me/registration/1.0/</font></a>
<br><font size=2 face="Calibri">           
                  This is
still on John's to-do list</font>
<br><font size=2 face="Calibri"> </font>
<br><font size=2 face="Calibri">Future Meetings:</font>
<br><font size=2 face="Calibri">           
   Before IETF 89 in London</font>
<br><font size=2 face="Calibri">           
                  We have
requested a room from noon-5</font>
<br><font size=2 face="Calibri">           
                  OpenID would
take the first half, OAuth the second</font>
<br><font size=2 face="Calibri">           
                  John will
set up Eventbrite registration for this</font>
<br><font size=2 face="Calibri">           
   During RSA in San Francisco</font>
<br><font size=2 face="Calibri">           
                  Mike still
needs to investigate this possibility - probably after Friday's IETF submission
deadline</font>
<br><font size=2 face="Calibri"> </font>
<br><font size=2 face="Calibri">Session Management:</font>
<br><font size=2 face="Calibri">           
   Breno and Naveen had a conversation with John and Nat about
session management</font>
<br><font size=2 face="Calibri">           
   They're concerned about RPs generating a lot of traffic at
IdPs</font>
<br><font size=2 face="Calibri">           
   They believe that token caching is needed</font>
<br><font size=2 face="Calibri">           
   Mike questioned what level of the specs this should happen
at, and what we need to do</font>
<br><font size=2 face="Calibri">           
   Breno asked whether having RPs have logout notification endpoints
wouldn't work better in some cases</font>
<br><font size=2 face="Calibri">           
   John brought up that some RPs might not want to have JavaScript</font>
<br><font size=2 face="Calibri">           
                  Devices
like Layer7 intermediary devices and other may have problems injecting
JavaScript into the HTML</font>
<br><font size=2 face="Calibri">           
   Breno was also worried postMessage security vulnerabilities</font>
<br><font size=2 face="Calibri">           
                  This may
mostly have to do with using postMessage for authentication</font>
<br><font size=2 face="Calibri">           
                  All JavaScript
widgets share the same postMessage channel</font>
<br><font size=2 face="Calibri">           
                  For session
management, we're only sending "yes" or "no" so we're
not leaking much information</font>
<br><font size=2 face="Calibri">           
                  Versus sending
the ID Token via postMessage, which would be a concern</font>
<br><font size=2 face="Calibri">           
   Mike plans to try to talk with Breno and Naveen in person
this week about next steps</font>
<br><font size=2 face="Calibri"> </font>
<br><font size=2 face="Calibri">Interactive Client Registration</font>
<br><font size=2 face="Calibri">           
   Google also discussed wanting to do dynamic client registration
for IMAP clients</font>
<br><font size=2 face="Calibri">           
   This requires user interaction, which dynamic registration
doesn't currently support</font>
<br><font size=2 face="Calibri">           
   As a side effect, they would like to also issue tokens</font>
<br><font size=2 face="Calibri">           
   They liked the software statement idea</font>
<br><font size=2 face="Calibri">           
   They only want to issue Client IDs to be created for authenticated
users</font>
<br><font size=2 face="Calibri">           
   John will think about whether and how they can accomplish
this with our existing protocol flows</font>
<br><font size=2 face="Calibri">           
                  We think
that this is possible</font>
<br><font size=2 face="Calibri"> </font>
<br><font size=2 face="Calibri">Call Schedule:</font>
<br><font size=2 face="Calibri">           
   There's been no discussion about call times on the list so
far</font>
<br><font size=2 face="Calibri">           
   We will continue with the weekly Thursday calls for now</font>
<br><font size=2 face="Calibri">           
   People are encouraged to discuss what the right schedule is
on the list</font>
<br><font size=2 face="Calibri"> </font><tt><font size=2>_______________________________________________<br>
Openid-specs-ab mailing list<br>
Openid-specs-ab@lists.openid.net<br>
</font></tt><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab"><tt><font size=2>http://lists.openid.net/mailman/listinfo/openid-specs-ab</font></tt></a><tt><font size=2><br>
</font></tt>
<br>