<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">
<div>Hi John,</div>
<div><br>
</div>
<div>First of all thank you for your quick response. </div>
<div><br>
</div>
<div>I agree that having persistent session cookies is not a good practice. However there are some Service Providers that can’t decide how many time set for expiration cookies and they suggest somehow to be warned in case the user is unsubscribed. We would
 have a similar problem if the cookie expires after the id_token, however this case can be managed setting the id_token in the cookie.</div>
<div><br>
</div>
<div>You said that “Most SP don’t retain enough of the session in the server to be able to correlate and kill a front channel session based on a out of band signal”, are you talking about legacy code that sets “something” in the session cookie? If I understand
 well this could also be avoided setting the id_token in the cookie right?</div>
<div><br>
</div>
<div>BTW, is public the spec you are working on for the back channel?</div>
<div><br>
</div>
<div>Best Regards and thank you again,</div>
<div>Gonza.</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">De: </span>John Bradley <<a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a>><br>
<span style="font-weight:bold">Fecha: </span>lunes, 28 de marzo de 2016, 20:33<br>
<span style="font-weight:bold">Para: </span>Gonzalo Fernandez Rodriguez <<a href="mailto:gonzalo.fernandezrodriguez@telefonica.com">gonzalo.fernandezrodriguez@telefonica.com</a>><br>
<span style="font-weight:bold">CC: </span>"<a href="mailto:openid-specs-mobile-profile@lists.openid.net">openid-specs-mobile-profile@lists.openid.net</a>" <<a href="mailto:openid-specs-mobile-profile@lists.openid.net">openid-specs-mobile-profile@lists.openid.net</a>><br>
<span style="font-weight:bold">Asunto: </span>Re: [Openid-specs-mobile-profile] How to invalidate cookie sessions in RP<br>
</div>
<div><br>
</div>
<div>
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
There specs for logout in the front channel using redirects, and one I am working on for the back channel.
<div class=""><br class="">
</div>
<div class="">It is probably a bad practice to have session cookies that don’t expire.  We have seen requests for logout, but not a account deprovisioning other than through SCIM or something like that.</div>
<div class=""><br class="">
</div>
<div class="">I would ask why a user being unsubscribed to mobile connect is a problem for the SP as long as the session is good.   Is this different from logout?</div>
<div class="">I can potentially see backchannel logout being required if the user doesn’t have an active browser session.</div>
<div class=""><br class="">
</div>
<div class="">I think what you will find on the web is that most SP don’t retain enough of the session in the server to be able to correlate and kill a front channel session based on a out of band signal.</div>
<div class=""><br class="">
</div>
<div class="">So while SP do ask for back channel logout, most of them decide that they can’t do it based on how the site is designed around cookies.</div>
<div class=""><br class="">
</div>
<div class="">I think the closest thing is backchannel logout, but most RP/SP won’t do it.</div>
<div class=""><br class="">
</div>
<div class="">It is exactly the same problem in SAML and almost no one uses the SAML SLO spec for that reason.</div>
<div class=""><br class="">
</div>
<div class="">John B.</div>
<div class=""><br class="">
<div>
<blockquote type="cite" class="">
<div class="">On Mar 28, 2016, at 2:37 PM, GONZALO FERNANDEZ RODRIGUEZ <<a href="mailto:gonzalo.fernandezrodriguez@telefonica.com" class="">gonzalo.fernandezrodriguez@telefonica.com</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<div style="font-family: Calibri, sans-serif; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<div class="">Hi guys,</div>
<div class=""><br class="">
</div>
<div class="">
<div class="">I would like to know your opinion as experts in OIDC about how to invalidate the session cookies in the RP in case of a user abandons Mobile Connect. I mean, I am thinking in the next problem:</div>
<div class=""><br class="">
</div>
<ol class="">
<li class="">A Relaying Party “RP1” using Mobile Connect authenticates the user “user1” using Mobile Connect in an MNO.</li><li class="">The relaying party sets a cookie, likely with the id_token (to be able to check the expiration) for a long time.</li><li class="">The user “user1” is unsuscribed in Mobile Connect, however he can still be authenticated in the RP1 relaying party because the cookie is still valid.</li></ol>
<div class="">The question is if there is some standard way to proceed to communicate the RP1 that the user “user1” is no longer is Mobile Connect subscriber, and allow the RP to invalidate the cookie.</div>
</div>
<div class=""><br class="">
</div>
<div class="">Best,</div>
<div class="">Gonza.</div>
</div>
<br style="font-family: Calibri, sans-serif; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<hr style="font-family: Calibri, sans-serif; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<font face="Arial" color="Gray" size="1" style="font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class=""><br class="">
Este mensaje y sus adjuntos se dirigen exclusivamente a su destinatario, puede contener información privilegiada o confidencial y es para uso exclusivo de la persona o entidad de destino. Si no es usted. el destinatario indicado, queda notificado de que la
 lectura, utilización, divulgación y/o copia sin autorización puede estar prohibida en virtud de la legislación vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma vía y proceda a su destrucción.<br class="">
<br class="">
The information contained in this transmission is privileged and confidential information intended only for the use of the individual or entity named above. If the reader of this message is not the intended recipient, you are hereby notified that any dissemination,
 distribution or copying of this communication is strictly prohibited. If you have received this transmission in error, do not read it. Please immediately reply to the sender that you have received this communication in error and then delete it.<br class="">
<br class="">
Esta mensagem e seus anexos se dirigem exclusivamente ao seu destinatário, pode conter informação privilegiada ou confidencial e é para uso exclusivo da pessoa ou entidade de destino. Se não é vossa senhoria o destinatário indicado, fica notificado de que a
 leitura, utilização, divulgação e/ou cópia sem autorização pode estar proibida em virtude da legislação vigente. Se recebeu esta mensagem por erro, rogamos-lhe que nos o comunique imediatamente por esta mesma via e proceda a sua destruição<br class="">
</font><span style="font-family: Calibri, sans-serif; font-size: 14px; font-style: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">_______________________________________________</span><br style="font-family: Calibri, sans-serif; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Calibri, sans-serif; font-size: 14px; font-style: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Openid-specs-mobile-profile
 mailing list</span><br style="font-family: Calibri, sans-serif; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<a href="mailto:Openid-specs-mobile-profile@lists.openid.net" style="color: purple; text-decoration: underline; font-family: Calibri, sans-serif; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">Openid-specs-mobile-profile@lists.openid.net</a><br style="font-family: Calibri, sans-serif; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-mobile-profile" style="color: purple; text-decoration: underline; font-family: Calibri, sans-serif; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">http://lists.openid.net/mailman/listinfo/openid-specs-mobile-profile</a></div>
</blockquote>
</div>
<br class="">
</div>
</div>
</div>
</span><br>
<hr>
<font face="Arial" color="Gray" size="1"><br>
Este mensaje y sus adjuntos se dirigen exclusivamente a su destinatario, puede contener información privilegiada o confidencial y es para uso exclusivo de la persona o entidad de destino. Si no es usted. el destinatario indicado, queda notificado de que la
 lectura, utilización, divulgación y/o copia sin autorización puede estar prohibida en virtud de la legislación vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma vía y proceda a su destrucción.<br>
<br>
The information contained in this transmission is privileged and confidential information intended only for the use of the individual or entity named above. If the reader of this message is not the intended recipient, you are hereby notified that any dissemination,
 distribution or copying of this communication is strictly prohibited. If you have received this transmission in error, do not read it. Please immediately reply to the sender that you have received this communication in error and then delete it.<br>
<br>
Esta mensagem e seus anexos se dirigem exclusivamente ao seu destinatário, pode conter informação privilegiada ou confidencial e é para uso exclusivo da pessoa ou entidade de destino. Se não é vossa senhoria o destinatário indicado, fica notificado de que a
 leitura, utilização, divulgação e/ou cópia sem autorização pode estar proibida em virtude da legislação vigente. Se recebeu esta mensagem por erro, rogamos-lhe que nos o comunique imediatamente por esta mesma via e proceda a sua destruição<br>
</font>
</body>
</html>