<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Spec call notes 1-Sep-16<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Mike Jones<o:p></o:p></p>
<p class="MsoNormal">Prateek Mishra<o:p></o:p></p>
<p class="MsoNormal">Phil Hunt<o:p></o:p></p>
<p class="MsoNormal">John Bradley<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Agenda<o:p></o:p></p>
<p class="MsoNormal">              Effects of disabling of 3rd party browser cookies<o:p></o:p></p>
<p class="MsoNormal">              Open Issues<o:p></o:p></p>
<p class="MsoNormal">              Progressing Front-Channel and Back-Channel Logout<o:p></o:p></p>
<p class="MsoNormal">              Certification Update<o:p></o:p></p>
<p class="MsoNormal">              Next Call<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Effects of disabling of 3rd party browser cookies<o:p></o:p></p>
<p class="MsoNormal">              The OP is loading RP iframes<o:p></o:p></p>
<p class="MsoNormal">              The iframe will load but because the OP is the origin, the RP won't be able clear the session cookie<o:p></o:p></p>
<p class="MsoNormal">              We don't think there are any workarounds<o:p></o:p></p>
<p class="MsoNormal">                           If there were workarounds, advertisers, etc. could use them for tracking cookies<o:p></o:p></p>
<p class="MsoNormal">              Mike will ask the Microsoft folks who have implemented this about their experience<o:p></o:p></p>
<p class="MsoNormal">              This is tracked in issue #1003:<o:p></o:p></p>
<p class="MsoNormal">                           Document possible impacts of disabling third-party cookies on front-channel logout<o:p></o:p></p>
<p class="MsoNormal">              Mike will take a stab at writing text for the front-channel logout spec<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">              Back-channel logout and the session management approach still work with 3rd party cookies disabled<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Open Issues<o:p></o:p></p>
<p class="MsoNormal">              #1003: Document possible impacts of disabling third-party cookies on front-channel logout<o:p></o:p></p>
<p class="MsoNormal">                           Discussed above<o:p></o:p></p>
<p class="MsoNormal">              #1002: Clarify meaning of exp claim in ID Token<o:p></o:p></p>
<p class="MsoNormal">                           John suggests that we add "from the OpenID Provider" to the wording.<o:p></o:p></p>
<p class="MsoNormal">                           Phil suggests that we say somewhere that this is unrelated to session lifetime.<o:p></o:p></p>
<p class="MsoNormal">                                         ... not intended to set limits on or be related to session lifetime.<o:p></o:p></p>
<p class="MsoNormal">                           Mike will take a stab at revised wording.<o:p></o:p></p>
<p class="MsoNormal">              #1000: Logout Token has wrong mandatory field (sub vs. jti)<o:p></o:p></p>
<p class="MsoNormal">                           "jti" is unique per JWT to prevent replay<o:p></o:p></p>
<p class="MsoNormal">                           The Session ID will be the same across multiple ID Tokens for the session<o:p></o:p></p>
<p class="MsoNormal">                           The topic really is what does an RP need to know to make use of logout<o:p></o:p></p>
<p class="MsoNormal">                                         Phil said that some RPs may not be doing personalization and may not care about "sub"<o:p></o:p></p>
<p class="MsoNormal">                           We're already letting RPs that need Session IDs require them<o:p></o:p></p>
<p class="MsoNormal">                           The front-channel logout typically doesn't need a Session ID (but RPs can ask for them)<o:p></o:p></p>
<p class="MsoNormal">                           We're trying to have the two approaches be as parallel as possible<o:p></o:p></p>
<p class="MsoNormal">                           Phil is interested in always having a Session ID<o:p></o:p></p>
<p class="MsoNormal">                           John is interested in not always having a Subject and instead using a Session ID<o:p></o:p></p>
<p class="MsoNormal">                                         It should be configurable by the client like Session ID<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Progressing Front-Channel and Back-Channel Logout<o:p></o:p></p>
<p class="MsoNormal">              After one more round of cleanups, we should probably hold implementer's draft votes for these specs<o:p></o:p></p>
<p class="MsoNormal">              People should be reviewing the drafts now<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Certification Update<o:p></o:p></p>
<p class="MsoNormal">              Mike has reviewed the test lists in Roland's RP testing code<o:p></o:p></p>
<p class="MsoNormal">              They appear to be ready to go for Basic, Implicit, Config, and Dynamic<o:p></o:p></p>
<p class="MsoNormal">              Three new tests (which should be easy to implemented) are needed for Hybrid<o:p></o:p></p>
<p class="MsoNormal">              Mike is working with Roland on creating updated testing instructions<o:p></o:p></p>
<p class="MsoNormal">                           The structure of the tests changed during CIS based on feedback from Hans Zandbelt<o:p></o:p></p>
<p class="MsoNormal">              Mike will send them out for review probably next week<o:p></o:p></p>
<p class="MsoNormal">              We appear to be on track for having some launch certifications in time for the Internet Identity Workshop<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Next Call<o:p></o:p></p>
<p class="MsoNormal">              Our next call will be Wednesday, Sep 7 at 4pm Pacific because that Monday is Labor Day in the US<o:p></o:p></p>
</div>
</body>
</html>