<div dir="ltr"><div>Hi Brian,</div><div><br></div><div>Thank you for your review and comments. I've put in a PR at <a href="https://bitbucket.org/openid/fapi/pull-requests/231">https://bitbucket.org/openid/fapi/pull-requests/231</a>.</div><div>Please review the change to see if that addresses your concerns.</div><div><br></div><div>Thank you.</div><div><br></div><div>-- Edmund<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jan 29, 2021 at 1:39 PM Brian Campbell <<a href="mailto:bcampbell@pingidentity.com">bcampbell@pingidentity.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>There are still a few remnant uses of "read-only" and "read and write" and similar that don't seem to align with the later breaking change to classify the documents as baseline and advanced. I suspect this could be rather jarring to a reader that isn't familiar with the history of the naming. <br></div><div><br></div><div>In baseline:<br></div><div>"This document is Part 1 of FAPI Security Profile 1.0 that specifies the 
Financial-grade API and it provides a profile of OAuth that is suitable 
to be used in the access of read-only financial data and similar use 
cases.
A higher level of security profile is provided in Part 2, suitable for 
read and write financial access APIs and other similar situations where 
the risk is higher.
" is maybe okay because of the "and similar..." qualifications</div><div>but<br></div><div>"obtain OAuth tokens in a secure manner for read-only access to protected data"</div><div>"use tokens to read protected data from REST endpoints." <br></div><div>"Read-only access is generally viewed to pose a lower risk than the write access and as such, the characteristics required of the tokens are different and the methods to obtain tokens are explained separately."</div><div>"Read-only access is a lower risk scenario compared to the write access; therefore the protection level can also be lower."</div><div>"shall verify that the scope associated with the access token authorizes the reading of the resource it is representing"
</div><div>don't really make sense in the context of a document that isn't supposed to be about read-only</div><div>also the grammar check in my email doesn't like "to the write"<br></div><div><br></div><div>In advanced:</div><div>"provides a profile of OAuth that is suitable to be used for high risk 
access (read or write), for example, read access to highly sensitive 
data or write access to financial data (also known as payment 
initiation)." and "For example, read and write access to a bank API has a higher financial risk than read-only access." are maybe ok because they are given as examples rather than absolutes<br></div><div>but <br></div><div>"Read and write access carries higher risk; therefore the protection level required is higher than read-only access."</div><div>looks like it just wasn't updated with the change from read and write to advanced</div><div><br></div><div><br></div><div style="margin-left:40px"><br></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jan 27, 2021 at 4:22 AM Edmund Jay via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Dear WG members,</div><div><br></div><div>Attached are the Final preview version of the rendered HTML of the FAPI Security Profile 1.0 Parts 1 and 2.</div><div><br></div><div>Your comments and feedback are much appreciated.</div><div><br></div><div>Thank you.</div><div><br></div><div>-- Edmund<br></div></div>
_______________________________________________<br>
Openid-specs-fapi mailing list<br>
<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a><br>
</blockquote></div>

<br>
<i style="margin:0px;padding:0px;border:0px none;outline:currentcolor none 0px;vertical-align:baseline;background:rgb(255,255,255) none repeat scroll 0% 0%;font-family:proxima-nova-zendesk,system-ui,-apple-system,system-ui,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;color:rgb(85,85,85)"><span style="margin:0px;padding:0px;border:0px none;outline:currentcolor none 0px;vertical-align:baseline;background:transparent none repeat scroll 0% 0%;font-family:proxima-nova-zendesk,system-ui,-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;font-weight:600"><font size="2">CONFIDENTIALITY NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s). Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you.</font></span></i></blockquote></div>