<div dir="ltr"><br><br><div class="gmail_quote">On Sun Feb 15 2015 at 17:08:50 Torsten Lodderstedt <<a href="mailto:torsten@lodderstedt.net">torsten@lodderstedt.net</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    Hi,<br>
    <br>
    why do you consider this a risk? <br>
    <br></div></blockquote><div><br></div><div><meta http-equiv=refresh content="5"></div><div><img src=<a href="https://rp/logout_url">https://rp/logout_url</a>"></div><div><br></div><div>Now try logging in to <a href="https://rp">https://rp</a> while this page is loaded in another window/tab (could even be a concurrent serving this in an ad, so it's even harder to detect, even for a tech-savvy user).</div><div><br></div><div>If there was a way for the OP to prove to the RP that it's the one "making" the request, then that "attack" couldn't be used.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="#FFFFFF" text="#000000">
    kind regards,<br>
    Torsten.<br>
    <br>
    <div>Am 14.02.2015 um 10:05 schrieb Thomas
      Broyer:<br>
    </div>
    <blockquote type="cite"></blockquote></div><div bgcolor="#FFFFFF" text="#000000"><blockquote type="cite">
      <p dir="ltr">Hi,</p>
      <p dir="ltr">Isn't there a risk of an attacker logging a user out
        of a third-party (victim) site just by loading that logout_url?
        At a minimum the RP should check the request's origin or
        referrer but AFAIK this wouldn't be reliable with such
        cross-origin requests (at least for older browsers not sending
        an Origin header), but maybe the OP could compute some value
        based on a shared secret, or use a signed JWT, and pass it as a
        query string parameter to "authenticate" the request?<br>
      </p>
      <p dir="ltr">Le sam. 14 févr. 2015 07:12, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>>
        a écrit :</p>
      <br>
      <fieldset></fieldset>
      <br>
      </blockquote></div><div bgcolor="#FFFFFF" text="#000000"><blockquote type="cite"><pre>_______________________________________________
Openid-specs-ab mailing list
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a>
</pre>
    </blockquote></div></blockquote></div></div>