<p dir="ltr">I meant the different threats and mitigations, not just this. </p>
<p dir="ltr">Sent by <a href=http://www.mail-wise.com/installation/2>MailWise</a> – See your emails as clean, short chats.</p>
<br><br>-------- Originalnachricht --------<br>Betreff: Re: [Openid-specs-ab] Defining a Hardened (Mix-up and Cut-and-Paste Proof) OpenID Connect Profile<br>Von: John Bradley <ve7jtb@ve7jtb.com><br>An: Torsten Lodderstedt <torsten@lodderstedt.net><br>Cc: William Denniss <wdenniss@google.com>,openid-specs-ab@lists.openid.net<br><br><p>For this we have one proposal from Google in Connect and another proposal from Nov in OAuth.  <br><br>I think there is a effort to reconcile them.    This is JS API stuff more than network based, so needs experts.<br><br>John B.<br>> On Apr 14, 2016, at 10:40 AM, Torsten Lodderstedt <torsten@lodderstedt.net> wrote:<br>> <br>> How and when shall we start to put the pieces together?<br>> <br>> Am 14.04.2016 um 13:03 schrieb John Bradley:<br>>> Yes.<br>>> <br>>> We should also work on a alternative for fragment for in browser JS.  We do have a couple of proposals at this point.<br>>> <br>>>> On Apr 14, 2016, at 6:02 AM, Torsten Lodderstedt <torsten@lodderstedt.net> wrote:<br>>>> <br>>>> Am 12.04.2016 um 23:28 schrieb John Bradley:<br>>>>> Basically fragment encoding is not a good idea any more other than for JS in the browser or for native apps using view controllers or system browsers.<br>>>>> <br>>>>> Servers really should support the form post response mode.<br>>>> This should go into the new security threat model and mitigations document we talked about in the OAuth session.<br>>>> <br>> <br><br></p>