
<div dir="ltr">Ad #1) I did recognize correctly the test is not meant to be tested from the RP test frontend (in description), but actually found it in the PDF, hence that is what i've reported.<div><br></div><div>id_token/rp-id_token-bad-at_hash.txt is present in section 2.2.2, Implicit Relying Party, page 18<br><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature">Best,<br><b>Filip Skokan</b></div></div>

<br><div class="gmail_quote">On Thu, Dec 8, 2016 at 7:45 PM, Mike Jones <span dir="ltr"><<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">


<div lang="EN-US">

<div class="gmail-m_-6172696920100628899WordSection1">

<p class="MsoNormal"><span style="color:rgb(0,32,96)">Thanks for this detailed report, Filip!  Roland, I think 2-5 are code bugs (possibly all the same bug).  Responses are inline below…<u></u><u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(0,32,96)"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(0,32,96)">                              <wbr>                         -- Mike<u></u><u></u></span></p>

<p class="MsoNormal"><a name="m_-6172696920100628899__MailEndCompose"><span style="color:rgb(0,32,96)"><u></u> <u></u></span></a></p>

<span></span>

<p class="MsoNormal"><b>From:</b> Filip [mailto:<a href="mailto:panva.ip@gmail.com" target="_blank">panva.ip@gmail.com</a>] <br>

<b>Sent:</b> Thursday, December 8, 2016 8:16 AM<br>

<b>To:</b> Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>>; Roland Hedberg <<a href="mailto:roland@catalogix.se" target="_blank">roland@catalogix.se</a>><span class="gmail-"><br>

<b>Cc:</b> <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.<wbr>net</a><br>

<b>Subject:</b> Re: [Openid-specs-ab] RP Certification has launched to Pilot Phase<u></u><u></u></span></p>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal">Hello,<u></u><u></u></p>

</div><span class="gmail-">

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">While testing for all specified test/profiles in the PDF i've encountered the following five issues for these test + response_type combinations<u></u><u></u></p>

</div>

</span><div><span class="gmail-">

<ol start="1" type="1">

<li class="MsoNormal" style="margin-left:0in">

id_token/rp-id_token-bad-at_<wbr>hash<u></u><u></u></li></ol>

<ol start="1" type="1">

<ul type="circle">

<li class="MsoNormal" style="margin-left:0in">

is listed in the PDF for implicit profile, test description clearly only mentions access_token issuing response types, this test should not be listed in the PDF under implicit-id_token, since no at_hash check will be performed without access_token being present<u></u><u></u></li></ul>

</ol>

</span><p class="MsoNormal"><span style="color:rgb(0,32,96)">At present in some cases, the RP test tool selects tests to display using coarse-grained categories like “Implicit” and “Hybrid”, even though not every

 test is applicable to every response_type.  This is particularly true of response_type=id_token, where many tests aren’t applicable.  The good news is that the submission instructions recognize these differences.  You’ll see that in Section 2.2.2 (Implicit

 Relying Party) of the Certification Submission Examples at <a href="http://openid.net/wordpress-content/uploads/2016/12/Certification-Submission-Examples.pdf" target="_blank">

http://openid.net/wordpress-<wbr>content/uploads/2016/12/<wbr>Certification-Submission-<wbr>Examples.pdf</a>, more results are included for the “id_token+token” set than for the “id_token” set.  In particular,

</span><span style="font-family:"courier new";color:rgb(0,32,96)">id_token+token/rp-id_token-<wbr>bad-at_hash.txt</span><span style="color:rgb(0,32,96)"> is listed but

</span><span style="font-family:"courier new";color:rgb(0,32,96)">id_token/rp-id_token-bad-at_<wbr>hash.txt</span><span style="color:rgb(0,32,96)"> is not.  I’ll plan to add this example to the top-level RP testing and submission instructions at

<a href="http://openid.net/certification/rp_testing/" target="_blank">http://openid.net/<wbr>certification/rp_testing/</a> and

<a href="http://openid.net/certification/rp_submission/" target="_blank">http://openid.net/<wbr>certification/rp_submission/</a> as well.<u></u><u></u></span></p><span class="gmail-">

<ol start="2" type="1">

<li class="MsoNormal" style="margin-left:0in">

code+id_token/rp-id_token-bad-<wbr>at_hash<u></u><u></u></li></ol>

<ol start="2" type="1">

<ol start="1" type="1">

<li class="MsoNormal" style="margin-left:0in">

authentication request is failing when response_type=code+id_token, Response {"error_description": "Wrong response_type", "error": "incorrect_behavior"}<u></u><u></u></li></ol>

</ol>

</span><p class="MsoNormal"><span style="color:rgb(0,32,96)">Roland, sounds like a code bug to me. ;-)<u></u><u></u></span></p><span class="gmail-">

<ol start="3" type="1">

<li class="MsoNormal" style="margin-left:0in">

code+token/rp-id_token-bad-at_<wbr>hash<u></u><u></u></li></ol>

<ol start="3" type="1">

<ol start="0" type="1">

<li class="MsoNormal" style="margin-left:0in">

authentication request is failing when response_type=code+id_token, Response {"error_description": "Wrong response_type", "error": "incorrect_behavior"}<u></u><u></u></li></ol>

</ol>

</span><p class="MsoNormal"><span style="color:rgb(0,32,96)">Probably the same (or a related) bug<u></u><u></u></span></p><span class="gmail-">

<ol start="4" type="1">

<li class="MsoNormal" style="margin-left:0in">

code+token/rp-id_token-bad-c_<wbr>hash<u></u><u></u></li></ol>

<ol start="4" type="1">

<ol start="0" type="1">

<li class="MsoNormal" style="margin-left:0in">

authentication request is failing when response_type=code+id_token, Response {"error_description": "Wrong response_type", "error": "incorrect_behavior"}<u></u><u></u></li></ol>

</ol>

</span><p class="MsoNormal"><span style="color:rgb(0,32,96)">Ditto<u></u><u></u></span></p><span class="gmail-">

<ol start="5" type="1">

<li class="MsoNormal" style="margin-left:0in">

code+token/rp-token_endpoint-<wbr>client_secret_basic<u></u><u></u></li></ol>

<ol start="5" type="1">

<ol start="0" type="1">

<li class="MsoNormal" style="margin-left:0in">

authentication request is failing when response_type=code+id_token, Response {"error_description": "Wrong response_type", "error": "incorrect_behavior"}<u></u><u></u></li></ol>

</ol>

</span></div>

<p class="MsoNormal"><span style="color:rgb(0,32,96)">Ditto</span><br clear="all">

<span style="color:rgb(0,32,96)"><u></u><u></u></span></p><span class="gmail-">

<div>

<div>

<div>

<div>

<p class="MsoNormal">Best Regards,<br>

<b>Filip Skokan</b><u></u><u></u></p>

</div>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<p class="MsoNormal">On Thu, Dec 8, 2016 at 12:17 PM, Mike Jones via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.<wbr>net</a>> wrote:<u></u><u></u></p>

<blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0in 0in 0in 6pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p class="MsoNormal">There are now complete RP certification submission instructions at

<a href="http://openid.net/certification/rp_submission/" target="_blank">http://openid.net/<wbr>certification/rp_submission/</a> and updated example submissions showing RP certifications referenced from it at

<a href="http://openid.net/wordpress-content/uploads/2016/12/Certification-Submission-Examples.pdf" target="_blank">

http://openid.net/wordpress-<wbr>content/uploads/2016/12/<wbr>Certification-Submission-<wbr>Examples.pdf</a>.  This means that we’re ready to accept real RP certification submissions!<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">Hans, Edmund, Filip, Rich (and of course Roland) – you’ve been actively testing.  I encourage you to now take the final step to submit actual RP certification applications (thereby

 testing the instructions).  Please contact me (and possibly also Roland) if you have any questions about the instructions or suggestions on how to make them better.  All other members are likewise encouraged to likewise participate in the pilot phase, during

 which RP certifications are free.<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">A huge thanks to Roland and the early testers for getting us to this point – especially Hans and Edmund!<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">We’ll talk about this progress and related items on the Connect working group call in 3.75 hours…<u></u><u></u></p>

<p class="MsoNormal"><span style="color:rgb(136,136,136)"> <u></u><u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(136,136,136)">                              <wbr>                         -- Mike<u></u><u></u></span></p>

</div>

</div>

<p class="MsoNormal" style="margin-bottom:12pt"><br>

______________________________<wbr>_________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.<wbr>net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/<wbr>mailman/listinfo/openid-specs-<wbr>ab</a><u></u><u></u></p>

</blockquote>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

</div>

</span></div>

</div>

</div>


</blockquote></div><br></div></div></div>