<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Spec Call Notes 26-Mar-20<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Mike Jones<o:p></o:p></p>
<p class="MsoNormal">Filip Skokan<o:p></o:p></p>
<p class="MsoNormal">Brian Campbell<o:p></o:p></p>
<p class="MsoNormal">Tim Cappalli<o:p></o:p></p>
<p class="MsoNormal">George Fletcher<o:p></o:p></p>
<p class="MsoNormal">Bjorn Hjelm<o:p></o:p></p>
<p class="MsoNormal">John Bradley<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Introductions<o:p></o:p></p>
<p class="MsoNormal">              Tim Cappalli just joined the Microsoft Identity Standards team<o:p></o:p></p>
<p class="MsoNormal">              Tim introduced himself and the other participants introduced themselves to Tim<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Migration from Mercurial to Git<o:p></o:p></p>
<p class="MsoNormal">              Edmund Jay posted a sample conversion in December at
<a href="https://bitbucket.org/edmund_jay/connect/">https://bitbucket.org/edmund_jay/connect/</a><o:p></o:p></p>
<p class="MsoNormal">                           People are encouraged to review the draft conversion<o:p></o:p></p>
<p class="MsoNormal">                           Also review:<o:p></o:p></p>
<p class="MsoNormal">                           <a href="https://bitbucket.org/edmund_jay/connect/commits/">
https://bitbucket.org/edmund_jay/connect/commits/</a><o:p></o:p></p>
<p class="MsoNormal">                           <a href="https://bitbucket.org/edmund_jay/connect/src/master/">
https://bitbucket.org/edmund_jay/connect/src/master/</a><o:p></o:p></p>
<p class="MsoNormal">                                <a href="https://bitbucket.org/edmund_jay/connect/issues?status=new&status=open">
https://bitbucket.org/edmund_jay/connect/issues?status=new&status=open</a><o:p></o:p></p>
<p class="MsoNormal">              It changes the Mercurial commit IDs to Git commit IDs<o:p></o:p></p>
<p class="MsoNormal">              Identities should be the same between Mercurial and Git on Bitbucket<o:p></o:p></p>
<p class="MsoNormal">              We plan to do the migration for real in early April<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Yahoo is turning off OpenID 2.0 support<o:p></o:p></p>
<p class="MsoNormal">              They support the OpenID 2.0 to OpenID Connect migration spec<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">AppAuth<o:p></o:p></p>
<p class="MsoNormal">              The AppAuth libraries are a project of the OpenID Connect working group<o:p></o:p></p>
<p class="MsoNormal">              George believes there is no current maintainer for AppAuth Android<o:p></o:p></p>
<p class="MsoNormal">                           There is a Verizon Media person Anand willing to do it<o:p></o:p></p>
<p class="MsoNormal">                           Verizon Media has added WebKit support<o:p></o:p></p>
<p class="MsoNormal">                           We could have a whole call on this topic<o:p></o:p></p>
<p class="MsoNormal">                           George will ask Anand to join a future call<o:p></o:p></p>
<p class="MsoNormal">              William Denniss has been maintaining AppAuth for iOS<o:p></o:p></p>
<p class="MsoNormal">                           John says that the iOS library uses the iOS SF authentication controller, which has WebAuthn support<o:p></o:p></p>
<p class="MsoNormal">                           See <a href="https://developer.apple.com/documentation/authenticationservices/aswebauthenticationsession">
https://developer.apple.com/documentation/authenticationservices/aswebauthenticationsession</a><o:p></o:p></p>
<p class="MsoNormal">              William had started a JavaScript library but it is currently unmaintained<o:p></o:p></p>
<p class="MsoNormal">                           Filip: It is getting ~9000 weekly downloads as a package<o:p></o:p></p>
<p class="MsoNormal">                           Filip says that it is not for browsers<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Logout Certifications and Spec Review<o:p></o:p></p>
<p class="MsoNormal">              We got our first logout RP certifications this week<o:p></o:p></p>
<p class="MsoNormal">              People are asked to review the three logout specs in preparation for taking them to final status<o:p></o:p></p>
<p class="MsoNormal">              We discussed possibly breaking RP-Initiated Logout out into its own spec (removing it from Session Management)<o:p></o:p></p>
<p class="MsoNormal">                           See issue <a href="https://bitbucket.org/openid/connect/issues/1162">
https://bitbucket.org/openid/connect/issues/1162</a><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Logout and Safari/Brave Third Party Cookie Blocking<o:p></o:p></p>
<p class="MsoNormal">              Session change notifications don't work with third party cookies disabled<o:p></o:p></p>
<p class="MsoNormal">              Front-channel logout also has problems<o:p></o:p></p>
<p class="MsoNormal">                           It's the notification channels that are affected<o:p></o:p></p>
<p class="MsoNormal">              Back-channel logout continues to work<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Proposed IsLoggedIn W3C browser feature<o:p></o:p></p>
<p class="MsoNormal">              See <a href="https://github.com/WebKit/explainers/tree/master/IsLoggedIn">
https://github.com/WebKit/explainers/tree/master/IsLoggedIn</a><o:p></o:p></p>
<p class="MsoNormal">              People are encouraged to review this<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">OpenID Connect for Identity Assurance<o:p></o:p></p>
<p class="MsoNormal">              The public review for the second Implementer's Draft has started<o:p></o:p></p>
<p class="MsoNormal">              <a href="https://openid.net/2020/03/24/second-public-review-period-for-openid-connect-for-identity-assurance-specification-started/">
https://openid.net/2020/03/24/second-public-review-period-for-openid-connect-for-identity-assurance-specification-started/</a><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">App Impersonation on Android<o:p></o:p></p>
<p class="MsoNormal">              George suggested we discuss app impersonation on Android<o:p></o:p></p>
<p class="MsoNormal">              If using a custom scheme on Android, the OS asks you which app you want to invoke<o:p></o:p></p>
<p class="MsoNormal">                           Only asked if multiple apps are registered for the scheme<o:p></o:p></p>
<p class="MsoNormal">              John: There is no protection for app impersonation<o:p></o:p></p>
<p class="MsoNormal">              John: The way to stop this is to use a claimed URL<o:p></o:p></p>
<p class="MsoNormal">              George: Or you can use Dynamic Client Registration<o:p></o:p></p>
<p class="MsoNormal">              John: There's currently no way to uniquely identify the app<o:p></o:p></p>
<p class="MsoNormal">                           It could be done using WebAuthn, in which the assertion identifies the app<o:p></o:p></p>
<p class="MsoNormal">              George: User consent is another defense, but it's a strange UX<o:p></o:p></p>
<p class="MsoNormal">              George would like us to provide guidance somewhere<o:p></o:p></p>
<p class="MsoNormal">                           John suggested a revision of the Native Application Best Practices specification<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">OAuth JAR<o:p></o:p></p>
<p class="MsoNormal">              Nat is going to update the spec to allow the client_id as a request parameter again<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Open Issues<o:p></o:p></p>
<p class="MsoNormal">              <a href="https://bitbucket.org/openid/connect/issues?status=new&status=open">
https://bitbucket.org/openid/connect/issues?status=new&status=open</a><o:p></o:p></p>
<p class="MsoNormal">              We ran out of time and so didn't look at any open issues on this call<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Next Call<o:p></o:p></p>
<p class="MsoNormal">              The next working group call is Monday, March 30, 2020 at 4pm Pacific Time<o:p></o:p></p>
</div>
</body>
</html>