<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif; ">

<div>

<div>Hi guys,</div>

<div><br>

</div>

<div>Just a quick question. Do we have a final decision about to turn the state parameter into mandatory for the Mobile Profile?</div>

<div><br>

</div>

<div>The GSMA document "Mobile OIDC Profile" will have "nonce" and "acr_values" parameter as "Recommended" in the next version, but they are waiting for a response from this WG and I don't remember if there is an agreement about how should be the status of

 the "state" parameter: Recommended or Mandatory.</div>

<div><br>

</div>

<div>Best,</div>

<div>Gonza.</div>

</div>

<div><br>

</div>

<span id="OLK_SRC_BODY_SECTION">

<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">

<span style="font-weight:bold">De: </span>John Bradley <<a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a>><br>

<span style="font-weight:bold">Fecha: </span>martes 7 de abril de 2015 16:11<br>

<span style="font-weight:bold">Para: </span>Gonzalo Fernandez Rodriguez <<a href="mailto:gonzalo.fernandezrodriguez@telefonica.com">gonzalo.fernandezrodriguez@telefonica.com</a>><br>

<span style="font-weight:bold">CC: </span>"<a href="mailto:openid-specs-mobile-profile@lists.openid.net">openid-specs-mobile-profile@lists.openid.net</a>" <<a href="mailto:openid-specs-mobile-profile@lists.openid.net">openid-specs-mobile-profile@lists.openid.net</a>><br>

<span style="font-weight:bold">Asunto: </span>Re: [Openid-specs-mobile-profile] Mobile Profile parameters<br>

</div>

<div><br>

</div>

<div>

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">

max-age is something we do need to talk about.

<div class=""><br class="">

</div>

<div class="">There is a question of what it means in the mobile connect case where the user is logging in from a desktop/laptop.</div>

<div class=""><br class="">

</div>

<div class="">If the user has a cookie with the IdP in the browser because they used mobile connect to log-into site a 8h ago from a home computer.</div>

<div class="">The same user 7h later goes to site B on a different device and performs mobile connect login from there office to a site with max-age = 1h.</div>

<div class=""><br class="">

</div>

<div class="">Now the persons child goes to the first computer and loges into site C still with a valid session cookie and the max-age is 2h.</div>

<div class=""><br class="">

</div>

<div class="">The person last authenticated interactively with mobile connect 1h ago is that what is reported to site C, or is it 8h that is reported?</div>

<div class=""><br class="">

</div>

<div class="">None of the authentication specs really consider the sort of out of band authentication across multiple devices that we are proposing.</div>

<div class=""><br class="">

</div>

<div class="">This is something that the mobile profile will need to expand on so that IdP are consistent on how they treat that value.</div>

<div class=""><br class="">

</div>

<div class="">The other thing to consider is what constitutes interactive login.  </div>

<div class="">That may require a OK confirmation if the login device is separate from the authentication device, or it might require a pin if it is the same device.</div>

<div class=""><br class="">

</div>

<div class="">However if you know the device has a screen lock then perhaps ok may not be needed if the cookie is strongly bound to the device as it would be a security no op that just annoys the user for no reason.</div>

<div class=""><br class="">

</div>

<div class="">Ther are a number of issues that will need to be considered.  </div>

<div class=""><br class="">

</div>

<div class="">I don't know that I would even recommend sending auth time, by the client.   In principal the AS/MNO should be best positioned to determine if the risk score requires additional factors such as re-prompting.</div>

<div class=""><br class="">

</div>

<div class="">John B.</div>

<div class=""><br class="">

</div>

<div class=""><br class="">

</div>

<div class="">

<div>

<blockquote type="cite" class="">

<div class="">On Apr 7, 2015, at 6:49 AM, GONZALO FERNANDEZ RODRIGUEZ <<a href="mailto:gonzalo.fernandezrodriguez@telefonica.com" class="">gonzalo.fernandezrodriguez@telefonica.com</a>> wrote:</div>

<br class="Apple-interchange-newline">

<div class="">

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; font-size: 14px; font-family: Calibri, sans-serif;" class="">

<div class="">Hi John,</div>

<div class=""><br class="">

</div>

<div class="">Very interesting your arguments, I fully agree.</div>

<div class=""><br class="">

</div>

<div class="">I had a mistake with prompt and max_age because they change from Optional to Recommended, sorry!</div>

<div class=""><br class="">

</div>

<div class="">Best,</div>

<div class="">Gonza.</div>

<div class=""><br class="">

</div>

<span id="OLK_SRC_BODY_SECTION" class="">

<div style="font-family: Calibri; font-size: 11pt; text-align: left; border-width: 1pt medium medium; border-style: solid none none; padding: 3pt 0in 0in; border-top-color: rgb(181, 196, 223);" class="">

<span style="font-weight:bold" class="">De: </span>John Bradley <<a href="mailto:ve7jtb@ve7jtb.com" class="">ve7jtb@ve7jtb.com</a>><br class="">

<span style="font-weight:bold" class="">Fecha: </span>martes 7 de abril de 2015 15:32<br class="">

<span style="font-weight:bold" class="">Para: </span>Gonzalo Fernandez Rodriguez <<a href="mailto:gonzalo.fernandezrodriguez@telefonica.com" class="">gonzalo.fernandezrodriguez@telefonica.com</a>><br class="">

<span style="font-weight:bold" class="">CC: </span>"<a href="mailto:openid-specs-mobile-profile@lists.openid.net" class="">openid-specs-mobile-profile@lists.openid.net</a>" <<a href="mailto:openid-specs-mobile-profile@lists.openid.net" class="">openid-specs-mobile-profile@lists.openid.net</a>><br class="">

<span style="font-weight:bold" class="">Asunto: </span>Re: [Openid-specs-mobile-profile] Mobile Profile parameters<br class="">

</div>

<div class=""><br class="">

</div>

<div class="">

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">

nonce and state are opaque to the AS and required for the AS to support now.

<div class=""><br class="">

</div>

<div class="">Forcing a client to send them may not achieve anything if the client sticks some static value in them to fulfill the spec.</div>

<div class="">Teaching clients to use them properly to protect themselves is more important.</div>

<div class=""><br class="">

</div>

<div class="">We debated making nonce required for code, but decided that there were sufficient protections by validating the redirect_uri at the token endpoint.</div>

<div class=""><br class="">

</div>

<div class="">max_age is probably a bad thing to force clients to send.  It will end in tears because clients will not understand what it means and cause a bad user experience.</div>

<div class=""><br class="">

</div>

<div class="">sending prompt every-time will also have bad user experience consequences,  mostly you don't want to send it unless you really want something other than the default of prompting the user only if they need to re-auth, or not prompt, </div>

<div class="">and return an error to the client if they need to re-auth (this allows a background check in a iframe). </div>

<div class=""><br class="">

</div>

<div class="">Forcing the client to request a acr if it is willing to take anything also seems a bit misguided.</div>

<div class=""><br class="">

</div>

<div class="">So I would say that who ever came up with that has a limited understanding of Connect.</div>

<div class=""><br class="">

</div>

<div class="">John B.</div>

<div class="">

<div class="">

<blockquote type="cite" class="">

<div class="">On Apr 7, 2015, at 1:59 AM, GONZALO FERNANDEZ RODRIGUEZ <<a href="mailto:gonzalo.fernandezrodriguez@telefonica.com" class="">gonzalo.fernandezrodriguez@telefonica.com</a>> wrote:</div>

<br class="Apple-interchange-newline">

<div class="">

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; font-size: 14px; font-family: Calibri, sans-serif;" class="">

<div class=""><br class="">

</div>

<span id="OLK_SRC_BODY_SECTION" class="">

<div class="">

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; font-size: 14px; font-family: Calibri, sans-serif;" class="">

<div class="">Hi Guys,</div>

<div class=""><br class="">

</div>

<div class="">I have been reviewing the Mobile Connect Profile doc released by the GSMA. There are some parameters in the authentication request, id_token and userinfo that have changed their use from optional to recommend or mandatory (These cases are showed

 in green). I don't think it is a problem to turn an optional parameter into mandatory in responses (id_token or userinfo), but I would like to highlight the cases where the spec says that the parameters are optional in the authentication request and the Mobile

 Profile says that they are mandatory, because I think they break the backward compatibility of the OIDC servers unless we can to differentiate the mobile profile requests from the other requests.</div>

</div>

</div>

</span>

<div class=""><br class="">

</div>

<div class="">PARAMETER<span class="Apple-tab-span" style="white-space:pre"> </span>

SPEC<span class="Apple-tab-span" style="white-space:pre"> </span>MOBILE PROFILE</div>

<div class="">-------------------<span class="Apple-tab-span" style="white-space:pre"></span>        ---------------------<span class="Apple-tab-span" style="white-space:pre"></span>     ------------------------</div>

<div class="">state<span class="Apple-tab-span" style="white-space:pre"> </span>Recommended<span class="Apple-tab-span" style="white-space:pre"></span>Mandatory</div>

<span id="OLK_SRC_BODY_SECTION" class="">

<div class="">

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; font-size: 14px; font-family: Calibri, sans-serif;" class="">

<div class="">

<div class="">nonce<span class="Apple-tab-span" style="white-space: pre; "> </span>

Recommended<span class="Apple-tab-span" style="white-space: pre; "> </span>Mandatory</div>

<span id="OLK_SRC_BODY_SECTION" class="">

<div class="">

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; font-size: 14px; font-family: Calibri, sans-serif;" class="">

</div>

</div>

</span></div>

<div class="">

<div class="">prompt<span class="Apple-tab-span" style="white-space: pre; "> </span>

Recommended<span class="Apple-tab-span" style="white-space: pre; "> </span>Mandatory</div>

<span id="OLK_SRC_BODY_SECTION" class="">

<div class="">

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; font-size: 14px; font-family: Calibri, sans-serif;" class="">

</div>

</div>

</span>

<div class="">max_age<span class="Apple-tab-span" style="white-space: pre; "> </span>

Recommended<span class="Apple-tab-span" style="white-space: pre; "> </span>Mandatory</div>

<span id="OLK_SRC_BODY_SECTION" class="">

<div class="">

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; font-size: 14px; font-family: Calibri, sans-serif;" class="">

</div>

</div>

</span>

<div class="">acr_values<span class="Apple-tab-span" style="white-space: pre; "> </span>

Recommended<span class="Apple-tab-span" style="white-space: pre; "> </span>Mandatory</div>

</div>

</div>

</div>

</span>

<div class=""><br class="">

</div>

<span id="OLK_SRC_BODY_SECTION" class="">

<div class="">

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; font-size: 14px; font-family: Calibri, sans-serif;" class="">

<div class="">I understand that state and nonce offer and added value from the point of view of security, however I don't see the benefit of the acr_values as mandatory parameter.</div>

<div class=""><br class="">

</div>

<div class=""><br class="">

</div>

<div class="">Best,</div>

<div class="">Gonza.</div>

</div>

</div>

</span><br class="">

<hr class="">

<font face="Arial" color="Gray" size="1" class=""><br class="">

Este mensaje y sus adjuntos se dirigen exclusivamente a su destinatario, puede contener informaci�n privilegiada o confidencial y es para uso exclusivo de la persona o entidad de destino. Si no es usted. el destinatario indicado, queda notificado de que la

 lectura, utilizaci�n, divulgaci�n y/o copia sin autorizaci�n puede estar prohibida en virtud de la legislaci�n vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma v�a y proceda a su destrucci�n.<br class="">

<br class="">

The information contained in this transmission is privileged and confidential information intended only for the use of the individual or entity named above. If the reader of this message is not the intended recipient, you are hereby notified that any dissemination,

 distribution or copying of this communication is strictly prohibited. If you have received this transmission in error, do not read it. Please immediately reply to the sender that you have received this communication in error and then delete it.<br class="">

<br class="">

Esta mensagem e seus anexos se dirigem exclusivamente ao seu destinat�rio, pode conter informa��o privilegiada ou confidencial e � para uso exclusivo da pessoa ou entidade de destino. Se n�o � vossa senhoria o destinat�rio indicado, fica notificado de que a

 leitura, utiliza��o, divulga��o e/ou c�pia sem autoriza��o pode estar proibida em virtude da legisla��o vigente. Se recebeu esta mensagem por erro, rogamos-lhe que nos o comunique imediatamente por esta mesma via e proceda a sua destrui��o<br class="">

</font></div>

_______________________________________________<br class="">

Openid-specs-mobile-profile mailing list<br class="">

<a href="mailto:Openid-specs-mobile-profile@lists.openid.net" class="">Openid-specs-mobile-profile@lists.openid.net</a><br class="">

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-mobile-profile" class="">http://lists.openid.net/mailman/listinfo/openid-specs-mobile-profile</a><br class="">

</div>

</blockquote>

</div>

<br class="">

</div>

</div>

</div>

</span><br class="">

<hr class="">

<font face="Arial" color="Gray" size="1" class=""><br class="">

Este mensaje y sus adjuntos se dirigen exclusivamente a su destinatario, puede contener informaci�n privilegiada o confidencial y es para uso exclusivo de la persona o entidad de destino. Si no es usted. el destinatario indicado, queda notificado de que la

 lectura, utilizaci�n, divulgaci�n y/o copia sin autorizaci�n puede estar prohibida en virtud de la legislaci�n vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma v�a y proceda a su destrucci�n.<br class="">

<br class="">

The information contained in this transmission is privileged and confidential information intended only for the use of the individual or entity named above. If the reader of this message is not the intended recipient, you are hereby notified that any dissemination,

 distribution or copying of this communication is strictly prohibited. If you have received this transmission in error, do not read it. Please immediately reply to the sender that you have received this communication in error and then delete it.<br class="">

<br class="">

Esta mensagem e seus anexos se dirigem exclusivamente ao seu destinat�rio, pode conter informa��o privilegiada ou confidencial e � para uso exclusivo da pessoa ou entidade de destino. Se n�o � vossa senhoria o destinat�rio indicado, fica notificado de que a

 leitura, utiliza��o, divulga��o e/ou c�pia sem autoriza��o pode estar proibida em virtude da legisla��o vigente. Se recebeu esta mensagem por erro, rogamos-lhe que nos o comunique imediatamente por esta mesma via e proceda a sua destrui��o<br class="">

</font></div>

</div>

</blockquote>

</div>

<br class="">

</div>

</div>

</div>

</span><br>

<hr>

<font face="Arial" color="Gray" size="1"><br>

Este mensaje y sus adjuntos se dirigen exclusivamente a su destinatario, puede contener informaci�n privilegiada o confidencial y es para uso exclusivo de la persona o entidad de destino. Si no es usted. el destinatario indicado, queda notificado de que la

 lectura, utilizaci�n, divulgaci�n y/o copia sin autorizaci�n puede estar prohibida en virtud de la legislaci�n vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma v�a y proceda a su destrucci�n.<br>

<br>

The information contained in this transmission is privileged and confidential information intended only for the use of the individual or entity named above. If the reader of this message is not the intended recipient, you are hereby notified that any dissemination,

 distribution or copying of this communication is strictly prohibited. If you have received this transmission in error, do not read it. Please immediately reply to the sender that you have received this communication in error and then delete it.<br>

<br>

Esta mensagem e seus anexos se dirigem exclusivamente ao seu destinat�rio, pode conter informa��o privilegiada ou confidencial e � para uso exclusivo da pessoa ou entidade de destino. Se n�o � vossa senhoria o destinat�rio indicado, fica notificado de que a

 leitura, utiliza��o, divulga��o e/ou c�pia sem autoriza��o pode estar proibida em virtude da legisla��o vigente. Se recebeu esta mensagem por erro, rogamos-lhe que nos o comunique imediatamente por esta mesma via e proceda a sua destrui��o<br>

</font>

</body>

</html>