Thanks. <div><br></div><div>307 redirect is interesting but is there anyone using it in our context? The reason why RFC6749 does not specify redirect method is to allow JS based communications etc. as a framework and not to allow 307. Perhaps it should be noted in the security considerations. </div><div><br></div><div>The other one is not new. <span></span></div><div><br>2016年1月9日土曜日、Mike Schwartz<<a href="mailto:mike@gluu.org">mike@gluu.org</a>>さんは書きました:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">OpenID Connect Gurus:<br>
<br>
New vulnerabilities identified by the Univ of Trier:<br>
  <a href="http://www.scmagazineuk.com/researchers-find-two-flaws-in-oauth-20/article/463919/" target="_blank">http://www.scmagazineuk.com/researchers-find-two-flaws-in-oauth-20/article/463919/</a><br>
<br>
- Mike<br>
<br>
-------------------------------------<br>
Michael Schwartz<br>
Gluu<br>
<a href="http://gluu.org" target="_blank">http://gluu.org</a><br>
SSO / SAML / OpenID Connect / UMA / OAuth2<br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a>Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</blockquote></div><br><br>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div><br>