<div dir="ltr">OpenID AB/Connect WG Call (2016-01-21)<div>===============================================</div><div>Date & TIme: 2016-01-21 15:00Z - 16:30Z</div><div>Present: Nat, George, Nov, John</div><div><br></div><div>On the call, recent findings on the OAuth security has been talked. John explained the result of the Darmstadt OAuth meetings. Documents in question were: </div><div>[1] <a href="https://mailarchive.ietf.org/arch/msg/oauth/JIVxFBGsJBVtm7ljwJhPUm3Fr-w">https://mailarchive.ietf.org/arch/msg/oauth/JIVxFBGsJBVtm7ljwJhPUm3Fr-w</a></div><div>[2] <a href="https://docs.google.com/document/d/136Cz2iwUFMdoKWZPCqZRhkmfmHAlJ6kM5OyeXzGptU4/edit">https://docs.google.com/document/d/136Cz2iwUFMdoKWZPCqZRhkmfmHAlJ6kM5OyeXzGptU4/edit</a></div><div><br></div><div>Lengthy discussion followed. </div><br>The issuer compare assumes that the malicious endpoints came from discovery rather than some static attack and the client_id compare assumes that two authorization servers cannot have the same client_id for a given client. Thus, neither way seemed to work. <div><br></div><div>The participants agreed to further investigate. <br><div><br></div><div>The meeting adjorned at 16:30 Z. <br><div><br></div><div><br><div><br></div></div></div></div></div>