<div dir="ltr"><div>As indicated in the comment, it is the Questioning spec.</div><div><br></div><div>Am I correct in assuming the spec applies to the telco's app in the users' phones?</div><div><br></div><div>thx  ..tom</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, May 15, 2017 at 12:55 PM, Hjelm, Bjorn <span dir="ltr"><<a href="mailto:Bjorn.Hjelm@verizonwireless.com" target="_blank">Bjorn.Hjelm@verizonwireless.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div lang="EN-US" vlink="purple" link="blue">

<div class="m_8644956412740300458WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Tom,<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Thanks for taking the time to review the draft(s). First, John should be able to help set you up to get access to bitbucket to allow you to submit items for

 the issue tracker.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Second, are your comments against Client Initiated Backchannel Authentication, User Questioning API, both, or another of the four specifications that were approved

 as Implementer’s Draft?<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">BR,<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Bjorn<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Tom Jones [mailto:<a href="mailto:thomasclinganjones@gmail.com" target="_blank">thomasclinganjones@<wbr>gmail.com</a>]

<br>

<b>Sent:</b> Monday, May 15, 2017 12:16 PM<br>

<b>To:</b> Hjelm, Bjorn; Nat Sakimura<br>

<b>Subject:</b> Re: [E] Re: [Openid-specs-fapi] FYI: OpenID Implementer’s Drafts of Four MODRNA Specifications Approved<u></u><u></u></span></p><div><div class="h5">

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal">I finally got time to review one of the documents, questioning, and went to the bitbucket site, only to find access denied.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">My first problem was how to understand the spec at all with no overall architecture or threat model data flow diagram.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">I take it that the doc is oriented to a phone company client residing on a user's smart phone?<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">I have some real problems with this from the user perspective.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">The spec addresses privacy as tho it was only the user private information that was under attack.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">The reality is that user attention is also precious and needs to be under user control.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">This spec does not address the acquisition of user consent to receive any of the messages, or to control which one can be supplied.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">That would required a set of (claims?) that the user can consent to receive.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">Nat, the same comments would apply to notices from any FI. I consent to receive some SMS from my various FIs and am given a good measure of control about which and how often.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">We need that as well as inclusion of user attention in any privacy statement.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">..tom<u></u><u></u></p>

</div>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<p class="MsoNormal">On Fri, May 12, 2017 at 10:00 AM, Hjelm, Bjorn <<a href="mailto:Bjorn.Hjelm@verizonwireless.com" target="_blank">Bjorn.Hjelm@verizonwireless.<wbr>com</a>> wrote:<u></u><u></u></p>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Tom,</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">We would appreciate any input on any of the four specifications. Please post the comments to the

 MODRNA Issue Tracker (<a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__bitbucket.org_openid_mobile_issues&d=DwMFaQ&c=udBTRvFvXC5Dhqg7UHpJlPps3mZ3LRxpb6__0PomBTQ&r=NMZJHCV8pjvGIH2fTx9z6l7g7-V-a2xW7ISf9uHdz0A&m=atBJ-6H_z962nk3eN3GXHnp6TESqTje2b8L7syzH1vk&s=e30N3cb-5spp8lgcYCjT5q7ormFIlDDY0UnqdfGnq2o&e=" target="_blank">https://bitbucket.org/openid/<wbr>mobile/issues</a>).

</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">BR,</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Bjorn</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Openid-specs-fapi [mailto:<a href="mailto:openid-specs-fapi-bounces@lists.openid.net" target="_blank">openid-specs-fapi-<wbr>bounces@lists.openid.net</a>]

<b>On Behalf Of </b>Tom Jones via Openid-specs-fapi<br>

<b>Sent:</b> Wednesday, May 10, 2017 8:49 AM<br>

<b>To:</b> Nat Sakimura; Financial API Working Group List<br>

<b>Subject:</b> [E] Re: [Openid-specs-fapi] FYI: OpenID Implementer’s Drafts of Four MODRNA Specifications Approved</span><u></u><u></u></p>

<div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

<div>

<p class="MsoNormal">Yes.  Especially man-in-browser.<u></u><u></u></p>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">But as the sole objector to those specs i would like to avoid exchanging any personal data between FIs.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">It was the spec that exchanged personal data between phone companies that i found objectionable.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">I would wish that any future vote not lump multiple specs into one ballot.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">..tom<u></u><u></u></p>

</div>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

<div>

<p class="MsoNormal">On Wed, May 10, 2017 at 2:45 AM, Nat Sakimura via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.<wbr>openid.net</a>>

 wrote:<u></u><u></u></p>

<p class="MsoNormal">Now that they are Implementer's draft and the IPR is locked in, we can safely refer to them. User questioning and Backchannel login are really interesting for us. They can mitigate

 the risk of man-in-the-browser. It has been a bit unfortunate timing-wise, but we should consider adding one of them at least in the next revision. Is there an appetite to bite them?<span style="color:#888888"><br>

<br>

<span class="m_8644956412740300458m170735259757249594hoenzb">-- </span><br>

<span class="m_8644956412740300458m170735259757249594hoenzb">Nat Sakimura</span><br>

<span class="m_8644956412740300458m170735259757249594hoenzb">Research Fellow, Nomura Research Institute</span><br>

<span class="m_8644956412740300458m170735259757249594hoenzb">Chairman of the Board, OpenID Foundation</span><br>

<span class="m_8644956412740300458m170735259757249594hoenzb">______________________________<wbr>_________________</span><br>

<span class="m_8644956412740300458m170735259757249594hoenzb">Openid-specs-fapi mailing list</span><br>

<span class="m_8644956412740300458m170735259757249594hoenzb"><a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.<wbr>openid.net</a></span><br>

<span class="m_8644956412740300458m170735259757249594hoenzb"><a href="https://urldefense.proofpoint.com/v2/url?u=http-3A__lists.openid.net_mailman_listinfo_openid-2Dspecs-2Dfapi&d=DwMFaQ&c=udBTRvFvXC5Dhqg7UHpJlPps3mZ3LRxpb6__0PomBTQ&r=NMZJHCV8pjvGIH2fTx9z6l7g7-V-a2xW7ISf9uHdz0A&m=wYjcjsNl4eIFgF69gUKY1fjOgq4nx4CDV2X40SKxMY8&s=g9kTYOxXzBnV_HQiBh1KG-CtkGJJcFQCod7Hk5LioMo&e=" target="_blank">http://lists.openid.net/<wbr>mailman/listinfo/openid-specs-<wbr>fapi</a></span></span><u></u><u></u></p>

</div>

<p class="MsoNormal"><br>

<br clear="all">

<u></u><u></u></p>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<p class="MsoNormal">--

<u></u><u></u></p>

<div>

<p class="MsoNormal">..tom<u></u><u></u></p>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

<p class="MsoNormal"><br>

<br clear="all">

<br>

-- <u></u><u></u></p>

<div>

<p class="MsoNormal">..tom<u></u><u></u></p>

</div>

</div>

</div></div></div>

</div>

</blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">..tom</div>

</div>