<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
@font-face
        {font-family:"Trebuchet MS";
        panose-1:2 11 6 3 2 2 2 2 2 4;}
@font-face
        {font-family:"Segoe UI Symbol";
        panose-1:2 11 5 2 4 2 4 2 2 3;}
@font-face
        {font-family:"Open Sans";
        panose-1:2 11 6 6 3 5 4 2 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
pre
        {mso-style-priority:99;
        mso-style-link:"Préformaté HTML Car";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";}
p.m-3076476420525160964m-1520768907052051525msolistparagraph, li.m-3076476420525160964m-1520768907052051525msolistparagraph, div.m-3076476420525160964m-1520768907052051525msolistparagraph
        {mso-style-name:m_-3076476420525160964m-1520768907052051525msolistparagraph;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
p.m-3076476420525160964m-1520768907052051525m8657659864521352786m2730943742254380631m5647225656332949853msolistparagraph, li.m-3076476420525160964m-1520768907052051525m8657659864521352786m2730943742254380631m5647225656332949853msolistparagraph, div.m-3076476420525160964m-1520768907052051525m8657659864521352786m2730943742254380631m5647225656332949853msolistparagraph
        {mso-style-name:m_-3076476420525160964m-1520768907052051525m8657659864521352786m2730943742254380631m5647225656332949853msolistparagraph;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.PrformatHTMLCar
        {mso-style-name:"Préformaté HTML Car";
        mso-style-priority:99;
        mso-style-link:"Préformaté HTML";
        font-family:Consolas;
        mso-fareast-language:FR;}
span.EmailStyle22
        {mso-style-type:personal-reply;
        font-family:"Arial","sans-serif";
        color:black;
        font-weight:normal;
        font-style:normal;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="FR" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Hello Dave,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">  Sorry for the delay.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">  Your proposal seems to be a valid flow for payment, when the AS is responsible of the payment consent.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">  I still have a question on this: how does your solution handle the user MSISDN and how does it prevent spam ?<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Best regards,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Nicolas<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">De :</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Dave Tonge [mailto:dave.tonge@momentumft.co.uk]
<br>
<b>Envoyé :</b> mardi 13 mars 2018 00:07<br>
<b>À :</b> AILLERY Nicolas IMT/OLS<br>
<b>Cc :</b> Petteri Stenius; PABLO GUIJARRO ENRIQUEZ; openid-specs-mobile-profile@lists.openid.net<br>
<b>Objet :</b> Re: [Openid-specs-mobile-profile] CIBA Issues Review: Feedback for #62<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<p class="MsoNormal"><span style="font-family:"Trebuchet MS","sans-serif"">Hi Nicolas<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-family:"Trebuchet MS","sans-serif""><o:p> </o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-family:"Trebuchet MS","sans-serif"">So the flow we have in UK OpenBanking is here (I've added more details compared to my last email):<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-family:"Trebuchet MS","sans-serif""><o:p> </o:p></span></p>
</div>
<div>
<div>
<p class="MsoNormal" style="background:white"><span style="font-size:9.5pt;font-family:"Trebuchet MS","sans-serif";color:#222222">1. "payment" resource created at the RS using access token from client_credentials grant (scoped to RP, but not user) - this resource
 has all the details for the payment, e.g. payee, amount etc.<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white"><span style="font-size:9.5pt;font-family:"Trebuchet MS","sans-serif";color:#222222">2. the RS returns the id of this new payment to the RP<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white"><span style="font-size:9.5pt;font-family:"Trebuchet MS","sans-serif";color:#222222">3.this id is included in request object for redirect flow <o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white"><span style="font-size:9.5pt;font-family:"Trebuchet MS","sans-serif";color:#222222">4. the user is redirected to the OP (the bank) with the request object<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white"><span style="font-size:9.5pt;font-family:"Trebuchet MS","sans-serif";color:#222222">5. the AS can then retrieve the payment details and have enough information to gain authorisation from the user for the payment<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white"><span style="font-size:9.5pt;font-family:"Trebuchet MS","sans-serif";color:#222222">6. after authentication and authorisation the user is redirected back to the RP with an authorization code<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white"><span style="font-size:9.5pt;font-family:"Trebuchet MS","sans-serif";color:#222222">7. the RP exchanges the code for an access token (and id_token)<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white"><span style="font-size:9.5pt;font-family:"Trebuchet MS","sans-serif";color:#222222">8. the RP uses the access token to initiate the payment<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white"><span style="font-size:9.5pt;font-family:"Trebuchet MS","sans-serif";color:#222222"><o:p> </o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white"><span style="font-size:9.5pt;font-family:"Trebuchet MS","sans-serif";color:#222222">More details are here:<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white"><span style="font-size:9.5pt;font-family:"Trebuchet MS","sans-serif""><a href="https://openbanking.atlassian.net/wiki/spaces/DZ/pages/23363964">https://openbanking.atlassian.net/wiki/spaces/DZ/pages/23363964</a></span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="background:white"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="background:white"><span style="font-size:9.5pt;font-family:"Trebuchet MS","sans-serif"">Dave</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="background:white"><span style="font-size:9.5pt;font-family:"Trebuchet MS","sans-serif";color:#222222"><o:p> </o:p></span></p>
</div>
</div>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">On 12 March 2018 at 16:27, <<a href="mailto:nicolas.aillery@orange.com" target="_blank">nicolas.aillery@orange.com</a>> wrote:<o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Hi Dave,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">   How do you plan to send the payment details to the AS?</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Nicolas</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">De :</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Dave Tonge [mailto:<a href="mailto:dave.tonge@momentumft.co.uk" target="_blank">dave.tonge@momentumft.co.uk</a>]
<br>
<b>Envoyé :</b> lundi 12 mars 2018 17:23</span><o:p></o:p></p>
<div>
<div>
<p class="MsoNormal"><br>
<b>À :</b> AILLERY Nicolas IMT/OLS<br>
<b>Cc :</b> Petteri Stenius; PABLO GUIJARRO ENRIQUEZ; <a href="mailto:openid-specs-mobile-profile@lists.openid.net" target="_blank">
openid-specs-mobile-profile@lists.openid.net</a><br>
<b>Objet :</b> Re: [Openid-specs-mobile-profile] CIBA Issues Review: Feedback for #62<o:p></o:p></p>
</div>
</div>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">HI Nicolas</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif""> </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">Thanks - that could work, but because banks will also support redirect based flows for payment, it would mean that the Payment
 RS had to support tokens with different permissions and take different auth related actions depending on the token received.</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif""> </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">The model I put in the email means that the RS is more "dumb" and the all authorisation decisions happen at the AS.</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif""> </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">The dependency between the 2 flows isn't required, but is one of the options. CIBA requires the RP to have access to some identifier
 for the user - we don't have the discovery mechanisms available that you have in the MNO space and we don't like the security considerations of using static identifiers such as a MSISDN or bank account number - this is why we quite like the idea of using an
 id_token that has been previously issued to the RP.</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">Dave</span><o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">On 12 March 2018 at 16:11, <<a href="mailto:nicolas.aillery@orange.com" target="_blank">nicolas.aillery@orange.com</a>> wrote:<o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Hello Dave,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">   I’m not sure to understand the benefit to have the id_token in the second flow, as it
 create a dependency between the two flows.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">  
</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">   Another option:</span><o:p></o:p></p>
<p class="m-3076476420525160964m-1520768907052051525msolistparagraph"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">-</span><span lang="EN-US" style="font-size:7.0pt;color:black">      
</span><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">The RP retrieves a refresh_token and access_token in a OAuth Authorization Code flow.</span><o:p></o:p></p>
<p class="m-3076476420525160964m-1520768907052051525msolistparagraph"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">-</span><span lang="EN-US" style="font-size:7.0pt;color:black">      
</span><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">When the RP needs to enforce a payment for this user,</span><o:p></o:p></p>
<p class="m-3076476420525160964m-1520768907052051525msolistparagraph" style="margin-left:72.0pt">
<span lang="EN-US" style="font-size:10.0pt;font-family:"Courier New";color:black">o</span><span lang="EN-US" style="font-size:7.0pt;color:black">   
</span><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">The RP gets a fresh access_token thanks to the refresh_token</span><o:p></o:p></p>
<p class="m-3076476420525160964m-1520768907052051525msolistparagraph" style="margin-left:72.0pt">
<span lang="EN-US" style="font-size:10.0pt;font-family:"Courier New";color:black">o</span><span lang="EN-US" style="font-size:7.0pt;color:black">   
</span><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">The RP uses the access_token on the Payment RS along with payment details (the access_token means “the user allowed me to request payments”)</span><o:p></o:p></p>
<p class="m-3076476420525160964m-1520768907052051525msolistparagraph" style="margin-left:72.0pt">
<span lang="EN-US" style="font-size:10.0pt;font-family:"Courier New";color:black">o</span><span lang="EN-US" style="font-size:7.0pt;color:black">   
</span><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">The Payment RS notifies the user of new payment request</span><o:p></o:p></p>
<p class="m-3076476420525160964m-1520768907052051525msolistparagraph" style="margin-left:72.0pt">
<span lang="EN-US" style="font-size:10.0pt;font-family:"Courier New";color:black">o</span><span lang="EN-US" style="font-size:7.0pt;color:black">   
</span><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">The user authenticates and authorizes the current payment</span><o:p></o:p></p>
<p class="m-3076476420525160964m-1520768907052051525msolistparagraph" style="margin-left:72.0pt">
<span lang="EN-US" style="font-size:10.0pt;font-family:"Courier New";color:black">o</span><span lang="EN-US" style="font-size:7.0pt;color:black">   
</span><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Payment is done</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Regards,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Nicolas</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">De :</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Dave Tonge [mailto:<a href="mailto:dave.tonge@momentumft.co.uk" target="_blank">dave.tonge@momentumft.co.uk</a>]
<br>
<b>Envoyé :</b> lundi 12 mars 2018 16:13</span><o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><br>
<b>À :</b> AILLERY Nicolas IMT/OLS<br>
<b>Cc :</b> Petteri Stenius; PABLO GUIJARRO ENRIQUEZ; <a href="mailto:openid-specs-mobile-profile@lists.openid.net" target="_blank">
openid-specs-mobile-profile@lists.openid.net</a><br>
<b>Objet :</b> Re: [Openid-specs-mobile-profile] CIBA Issues Review: Feedback for #62<o:p></o:p></p>
</div>
</div>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">The payment RS is protected by access tokens - but it should be agnostic to how those tokens are generated - whether by redirect
 or CIBA.</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif""> </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">Current steps are:</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">1. payment resource created using access token from client_credentials grant (scoped to RP, but not user)</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">2. id of the new payment resource included in request object for redirect flow - use redirected to OP (the bank)</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">3. user authenticates and authorises payment and is redirect back to RP</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">4. RP gets code and exchanges for access token and id_token</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">5. RP uses access token to initiate the payment</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif""> </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">In a subsequent CIBA flow it would be:</span><o:p></o:p></p>
</div>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif";color:#222222">1. payment resource created using access token from client_credentials grant (scoped to RP, but not user)</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif";color:#222222">2. id of the new payment resource and previously received id token included in request object for CIBA flow</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif";color:#222222">3. OP (the bank) notifies user of new payment request, user authenticates and authorises payment</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif";color:#222222">4. RP gets access token (by polling or notification)</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif";color:#222222">5. RP uses access token to
<span style="background:white">initiate</span> the payment</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif""> </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">It would be good to get feedback on this.</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif""> </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">Thanks</span><o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif""> </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:12.0pt"><span style="font-family:"Trebuchet MS","sans-serif"">Dave</span><o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">On 12 March 2018 at 15:02, <<a href="mailto:nicolas.aillery@orange.com" target="_blank">nicolas.aillery@orange.com</a>> wrote:<o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Hello Dave,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">    For payment use cases, wouldn’t it be more interesting to use a Payment RS?</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">    This RS would be protected by OAuth (via an access_token), would take the purchase as
 parameter and would include an out-of-band authentication/validation before processing the payment.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Regards,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Nicolas</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">De :</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Dave Tonge [mailto:<a href="mailto:dave.tonge@momentumft.co.uk" target="_blank">dave.tonge@momentumft.co.uk</a>]
<br>
<b>Envoyé :</b> lundi 12 mars 2018 15:05</span><o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><br>
<b>À :</b> AILLERY Nicolas IMT/OLS<br>
<b>Cc :</b> Petteri Stenius; PABLO GUIJARRO ENRIQUEZ; <a href="mailto:openid-specs-mobile-profile@lists.openid.net" target="_blank">
openid-specs-mobile-profile@lists.openid.net</a><br>
<b>Objet :</b> Re: [Openid-specs-mobile-profile] CIBA Issues Review: Feedback for #62<o:p></o:p></p>
</div>
</div>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">Yes, that is correct.</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif""> </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">Although it is not always "more" permissions. Sometimes it is different permissions, e.g. each CIBA flow may be for a different
 payment. </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif""> </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">Dave</span><o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">On 12 March 2018 at 14:01, <<a href="mailto:nicolas.aillery@orange.com" target="_blank">nicolas.aillery@orange.com</a>> wrote:<o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Hello David,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">   Here, the first id_token enables to trigger a subsequent authentication.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">   Is the goal of this subsequent authentication to retrieve an access_token with more privileges?</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Nicolas</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">De :</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Dave Tonge [mailto:<a href="mailto:dave.tonge@momentumft.co.uk" target="_blank">dave.tonge@momentumft.co.uk</a>]
<br>
<b>Envoyé :</b> lundi 12 mars 2018 14:54<br>
<b>À :</b> AILLERY Nicolas IMT/OLS<br>
<b>Cc :</b> Petteri Stenius; PABLO GUIJARRO ENRIQUEZ; <a href="mailto:openid-specs-mobile-profile@lists.openid.net" target="_blank">
openid-specs-mobile-profile@lists.openid.net</a><br>
<b>Objet :</b> Re: [Openid-specs-mobile-profile] CIBA Issues Review: Feedback for #62</span><o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">Hi </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif""> </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">I think there is a valid use case for this.</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">Outside of the MNO space we are considering whether a redirect-flow is a prerequisite before a CIBA flow can be initiated.</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">The redirect flow would result in the RP having an id token, they could then use that id token to initiate multiple subsequent
 CIBA flows.</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif""> </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Trebuchet MS","sans-serif"">Dave</span><o:p></o:p></p>
</div>
</div>
</div>
</div>
<div>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">On 12 March 2018 at 13:23, <<a href="mailto:nicolas.aillery@orange.com" target="_blank">nicolas.aillery@orange.com</a>> wrote:<o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Hello Petteri,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">   I don’t think it’s a good idea to offer an interface to the user so that he can enter
 a MSISDN of his choice and trigger a challenge on the device corresponding to the MSISDN. Adding an antispam code is an approach, that is a pre-authentication of the user based on a secret shared amongst the user, all his apps and his MNO. It implies trust
 in all apps.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">   If this pre-authentication is necessary for security, why don’t standardize we it, by
 saying that CIBA is a second factor authentication after a first factor that is a login/password (or MSISDN/user_code) authentication?</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Regards,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Nicolas</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">De :</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Petteri Stenius [mailto:<a href="mailto:Petteri.Stenius@ubisecure.com" target="_blank">Petteri.Stenius@ubisecure.com</a>]
<br>
<b>Envoyé :</b> lundi 12 mars 2018 13:52</span><o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><br>
<b>À :</b> AILLERY Nicolas IMT/OLS<br>
<b>Cc :</b> <a href="mailto:openid-specs-mobile-profile@lists.openid.net" target="_blank">
openid-specs-mobile-profile@lists.openid.net</a>; PABLO GUIJARRO ENRIQUEZ; GONZALO FERNANDEZ RODRIGUEZ<br>
<b>Objet :</b> RE: CIBA Issues Review: Feedback for #62<o:p></o:p></p>
</div>
</div>
</div>
</div>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="FI" style="color:#1F497D">Hi Nicholas</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="FI" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">That is correct, the code will become known to all applications using back channel flows where I have logged on.
</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">Do you think there is a risk of the applications collecting the code and using the code for sending unsolicited authentication requests?
 Is the situation any worse than it is without user code? </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">What we want to do is prevent anybody who only needs to know my phone number from sending unsolicited authentication requests.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">About OTP: My authentication device could generate and display the OTP in the device’s user interface.
</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">Regards,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">Petteri</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span lang="EN-US">From:</span></b><span lang="EN-US">
<a href="mailto:nicolas.aillery@orange.com" target="_blank">nicolas.aillery@orange.com</a> <<a href="mailto:nicolas.aillery@orange.com" target="_blank">nicolas.aillery@orange.com</a>>
<br>
<b>Sent:</b> maanantai 12. maaliskuuta 2018 14.28<br>
<b>To:</b> Petteri Stenius <<a href="mailto:Petteri.Stenius@ubisecure.com" target="_blank">Petteri.Stenius@ubisecure.com</a>><br>
<b>Cc:</b> <a href="mailto:openid-specs-mobile-profile@lists.openid.net" target="_blank">
openid-specs-mobile-profile@lists.openid.net</a>; PABLO GUIJARRO ENRIQUEZ <<a href="mailto:pablo.guijarroenriquez@telefonica.com" target="_blank">pablo.guijarroenriquez@telefonica.com</a>>; GONZALO FERNANDEZ RODRIGUEZ <<a href="mailto:gonzalo.fernandezrodriguez@telefonica.com" target="_blank">gonzalo.fernandezrodriguez@telefonica.com</a>><br>
<b>Subject:</b> RE: CIBA Issues Review: Feedback for #62</span><o:p></o:p></p>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="FI"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Hello Petteri,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">   In the case you describe, the secret is not secret anymore (shared amongst all apps).</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">   How would you implement an OTP-like antispam code?</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Regards,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Nicolas</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">De :</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Petteri Stenius [<a href="mailto:Petteri.Stenius@ubisecure.com" target="_blank">mailto:Petteri.Stenius@ubisecure.com</a>]
<br>
<b>Envoyé :</b> lundi 12 mars 2018 12:52<br>
<b>À :</b> AILLERY Nicolas IMT/OLS<br>
<b>Cc :</b> <a href="mailto:openid-specs-mobile-profile@lists.openid.net" target="_blank">
openid-specs-mobile-profile@lists.openid.net</a>; PABLO GUIJARRO ENRIQUEZ; GONZALO FERNANDEZ RODRIGUEZ<br>
<b>Objet :</b> RE: CIBA Issues Review: Feedback for #62</span><o:p></o:p></p>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="FI" style="color:#1F497D">Hi Nicholas,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="FI" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">I am not trying to reproduce an oauth 2 use case with user code.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">Let me clarify with an example</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">Registration</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="m-3076476420525160964m-1520768907052051525m8657659864521352786m2730943742254380631m5647225656332949853msolistparagraph">
<span lang="EN-US" style="color:#1F497D">1.</span><span lang="EN-US" style="font-size:7.0pt;color:#1F497D">     
</span><span lang="EN-US" style="color:#1F497D">I register for Mobile PKI service at my mobile operator</span><o:p></o:p></p>
<p class="m-3076476420525160964m-1520768907052051525m8657659864521352786m2730943742254380631m5647225656332949853msolistparagraph">
<span lang="EN-US" style="color:#1F497D">2.</span><span lang="EN-US" style="font-size:7.0pt;color:#1F497D">     
</span><span lang="EN-US" style="color:#1F497D">I register a spam prevention code by sending a PIN code by SMS to my mobile operator</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">Logon</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="m-3076476420525160964m-1520768907052051525m8657659864521352786m2730943742254380631m5647225656332949853msolistparagraph">
<span lang="EN-US" style="color:#1F497D">1.</span><span lang="EN-US" style="font-size:7.0pt;color:#1F497D">     
</span><span lang="EN-US" style="color:#1F497D">To logon to an application with Mobile PKI, I enter my mobile phone number on a logon form</span><o:p></o:p></p>
<p class="m-3076476420525160964m-1520768907052051525m8657659864521352786m2730943742254380631m5647225656332949853msolistparagraph">
<span lang="EN-US" style="color:#1F497D">2.</span><span lang="EN-US" style="font-size:7.0pt;color:#1F497D">     
</span><span lang="EN-US" style="color:#1F497D">The application attempts to send authentication request to my mobile phone but receives an error code indicating spam prevention code is required</span><o:p></o:p></p>
<p class="m-3076476420525160964m-1520768907052051525m8657659864521352786m2730943742254380631m5647225656332949853msolistparagraph">
<span lang="EN-US" style="color:#1F497D">3.</span><span lang="EN-US" style="font-size:7.0pt;color:#1F497D">     
</span><span lang="EN-US" style="color:#1F497D">The application presents a form for entering the spam prevention code</span><o:p></o:p></p>
<p class="m-3076476420525160964m-1520768907052051525m8657659864521352786m2730943742254380631m5647225656332949853msolistparagraph">
<span lang="EN-US" style="color:#1F497D">4.</span><span lang="EN-US" style="font-size:7.0pt;color:#1F497D">     
</span><span lang="EN-US" style="color:#1F497D">I enter the PIN I registered </span>
<o:p></o:p></p>
<p class="m-3076476420525160964m-1520768907052051525m8657659864521352786m2730943742254380631m5647225656332949853msolistparagraph">
<span lang="EN-US" style="color:#1F497D">5.</span><span lang="EN-US" style="font-size:7.0pt;color:#1F497D">     
</span><span lang="EN-US" style="color:#1F497D">Application is allowed to send authentication request to my mobile phone</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">Regards,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">Petteri</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span lang="EN-US">From:</span></b><span lang="EN-US">
<a href="mailto:nicolas.aillery@orange.com" target="_blank">nicolas.aillery@orange.com</a> <<a href="mailto:nicolas.aillery@orange.com" target="_blank">nicolas.aillery@orange.com</a>>
<br>
<b>Sent:</b> maanantai 12. maaliskuuta 2018 12.53<br>
<b>To:</b> Petteri Stenius <<a href="mailto:Petteri.Stenius@ubisecure.com" target="_blank">Petteri.Stenius@ubisecure.com</a>>; GONZALO FERNANDEZ RODRIGUEZ <<a href="mailto:gonzalo.fernandezrodriguez@telefonica.com" target="_blank">gonzalo.fernandezrodriguez@telefonica.com</a>><br>
<b>Cc:</b> <a href="mailto:openid-specs-mobile-profile@lists.openid.net" target="_blank">
openid-specs-mobile-profile@lists.openid.net</a>; PABLO GUIJARRO ENRIQUEZ <<a href="mailto:pablo.guijarroenriquez@telefonica.com" target="_blank">pablo.guijarroenriquez@telefonica.com</a>><br>
<b>Subject:</b> RE: CIBA Issues Review: Feedback for #62</span><o:p></o:p></p>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="FI"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Hello Petteri,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">   If the « user_code » is a way to materialize the fact that the user allowed a SP to use
 CIBA, I think we are very close to an OAuth2.0 use case, the user_code being an access_token. This situation looks like a nonsense for me.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">   It seems important to have a clear view of the use cases where the user_code is involved
 to address them the best way,   </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Regards,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Nicolas</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">De :</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Petteri
 Stenius [<a href="mailto:Petteri.Stenius@ubisecure.com" target="_blank">mailto:Petteri.Stenius@ubisecure.com</a>]
<br>
<b>Envoyé :</b> lundi 12 mars 2018 10:</span><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">48<br>
<b>À :</b> GONZALO FERNANDEZ RODRIGUEZ; AILLERY Nicolas IMT/OLS<br>
<b>Cc :</b> <a href="mailto:openid-specs-mobile-profile@lists.openid.net" target="_blank">
openid-specs-mobile-profile@lists.openid.net</a>; PABLO GUIJARRO ENRIQUEZ<br>
<b>Objet :</b> RE: CIBA Issues Review: Feedback for #62</span><o:p></o:p></p>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">Hello,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">I have written a proposal for this feature into issue tracker
<a href="https://bitbucket.org/openid/mobile/issues/62/ciba-support-for-spam-prevention-code-in" target="_blank">
https://bitbucket.org/openid/mobile/issues/62/ciba-support-for-spam-prevention-code-in</a></span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">My proposal for name of parameter is user_code. The code is used to authorize sending an authentication request to user’s authentication
 device. In other words to prevent unsolicited authentication requests from appearing on user’s authentication device.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">I completely agree that there are many cases where this mechanism is not required. Still it is quite easy to identify cases where it may
 be necessary. That is why the parameter is optional.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">The details of how user codes works and are registered is not within the scope of this proposal. However it is perfectly possible to implement
 user codes as one time passwords. For example, to authorize an authentication request you’d enter a one time code that is shown on the authentication device.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D">Petteri</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="color:#1F497D"> </span><o:p></o:p></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> Openid-specs-mobile-profile <<a href="mailto:openid-specs-mobile-profile-bounces@lists.openid.net" target="_blank">openid-specs-mobile-profile-bounces@lists.openid.net</a>>
<b>On Behalf Of </b>GONZALO FERNANDEZ RODRIGUEZ<br>
<b>Sent:</b> lauantai 10. maaliskuuta 2018 14.49<br>
<b>To:</b> <a href="mailto:nicolas.aillery@orange.com" target="_blank">nicolas.aillery@orange.com</a><br>
<b>Cc:</b> <a href="mailto:openid-specs-mobile-profile@lists.openid.net" target="_blank">
openid-specs-mobile-profile@lists.openid.net</a>; PABLO GUIJARRO ENRIQUEZ <<a href="mailto:pablo.guijarroenriquez@telefonica.com" target="_blank">pablo.guijarroenriquez@telefonica.com</a>><br>
<b>Subject:</b> Re: [Openid-specs-mobile-profile] CIBA Issues Review: Feedback for #62</span><o:p></o:p></p>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="FI"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">Hi Nicolas,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">First of all, thank you for your feedback.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">I understand your view, I personally don't like to use an anti-spam code in CIBA, however it is only a proposal that try to fullfil the requirements of this opened
 issue, and if the WG don't agree we can decide not include the anti-spam code :).  However I have to say that in spite of the fact that I agree that a secret among more than 2 people is not a secret, what is proposed to be included in the CIBA spec in a way
 to carry-out the anti-spam code in the protocol and the way that it is shared is out of the scope of this spec.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">The OpenID providers can offer a secure way to share the anti-spam code with the Service Providers asking the user for consent (of course). I personally don't
 see the utility of it, I only can think about it as a way where a user could have potentially more control on what he wants to allow to Service Providers, that is, those who has the anti-spam code could interact with the user using the CIBA flow, otherwise
 they must use the Device flow.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">Honestly I don't think these use cases makes sense, we don't have these kind of use cases reported by Petteri and we really think that a Service Provider shouldn't
 have any interest in doing spam and others couldn't do it because CIBA authentication request uses an authenticated endpoint and only Service Providers can use it, but it was the only way I thought it could be supported by the protocol.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">P.D: agree that “spam-code” can be confusing
</span><span lang="EN-GB" style="font-family:"Segoe UI Symbol","sans-serif"">☺</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">Best,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">Gonza.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> </span><o:p></o:p></p>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span lang="EN-GB" style="color:black">From:
</span></b><span lang="EN-GB" style="color:black">"<a href="mailto:nicolas.aillery@orange.com" target="_blank">nicolas.aillery@orange.com</a>" <<a href="mailto:nicolas.aillery@orange.com" target="_blank">nicolas.aillery@orange.com</a>><br>
<b>Date: </b>Friday, 9 March 2018 at 10:30<br>
<b>To: </b>GONZALO FERNANDEZ RODRIGUEZ <<a href="mailto:gonzalo.fernandezrodriguez@telefonica.com" target="_blank">gonzalo.fernandezrodriguez@telefonica.com</a>><br>
<b>Cc: </b>PABLO GUIJARRO ENRIQUEZ <<a href="mailto:pablo.guijarroenriquez@telefonica.com" target="_blank">pablo.guijarroenriquez@telefonica.com</a>>, "<a href="mailto:openid-specs-mobile-profile@lists.openid.net" target="_blank">openid-specs-mobile-profile@lists.openid.net</a>"
 <<a href="mailto:openid-specs-mobile-profile@lists.openid.net" target="_blank">openid-specs-mobile-profile@lists.openid.net</a>><br>
<b>Subject: </b>RE: CIBA Issues Review: Feedback for #62</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> </span><o:p></o:p></p>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Hello Gonzalo,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">   Here are two remarks about your proposal :</span><o:p></o:p></p>
<p class="m-3076476420525160964m-1520768907052051525m8657659864521352786m2730943742254380631m5647225656332949853msolistparagraph">
<span lang="EN-GB" style="font-family:"Arial","sans-serif"">-</span><span lang="EN-GB" style="font-size:7.0pt">      
</span><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">I think using the wording ‘spam-code’ to describe an *anti*spam code will introduce some confusion.</span><o:p></o:p></p>
<p class="m-3076476420525160964m-1520768907052051525m8657659864521352786m2730943742254380631m5647225656332949853msolistparagraph">
<span lang="EN-GB" style="font-family:"Arial","sans-serif"">-</span><span lang="EN-GB" style="font-size:7.0pt">      
</span><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">I’m not sure it’s a good idea to expose the antispam code on CIBA. This code is similar to a user password, so it should be a secret between a user and his MNO.
 It was created to protect the user in a situation where anybody was able to enter any MSISDN on a public form (e.g. the GSMA discovery page before an OpenId Connect interaction). In CIBA, it’s the SP that will call CIBA, so using an antispam code implies that
 the secret is also shared amongst all SP (is this still a secret?). On another hand, is there still a spam risk in CIBA? Yes, if SP allow any user to enter any MSISDN, but in this situation the SP should use the classic OpenId Connect flow (because the user
 is already using the SP to be able to enter a MSISDN). No, if the SP uses CIBA as a second factor. My proposal is that CIBA does not implement antispam code, and that MNO does not check the antispam code when CIBA is used.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">   What is your point of view about this proposal?
</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Best regards,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Nicolas</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">De :</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Openid-specs-mobile-profile
 [<a href="mailto:openid-specs-mobile-profile-bounces@lists.openid.net" target="_blank">mailto:openid-specs-mobile-profile-bounces@lists.openid.net</a>]
<b>De la </b></span><b><span lang="EN-GB" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">part de</span></b><span lang="EN-GB" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> GONZALO FERNANDEZ RODRIGUEZ<br>
<b>Envoyé :</b> vendredi 2 mars 2018 14:40<br>
<b>À :</b> <a href="mailto:openid-specs-mobile-profile@lists.openid.net" target="_blank">
openid-specs-mobile-profile@lists.openid.net</a><br>
<b>Cc :</b> PABLO GUIJARRO ENRIQUEZ<br>
<b>Objet :</b> [Openid-specs-mobile-profile] CIBA Issues Review: Feedback for #62</span><o:p></o:p></p>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> </span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="EN-US">Hi all,</span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="EN-US"> </span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="EN-US">I continue asking you for feedback about another CIBA issue, in that cases is the #62
</span><span lang="EN-GB"><a href="https://bitbucket.org/openid/mobile/issues/62/ciba-support-for-spam-prevention-code-in" target="_blank"><span lang="EN-US">https://bitbucket.org/openid/mobile/issues/62/ciba-support-for-spam-prevention-code-in</span></a></span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="EN-US"> </span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="EN-US">The spam-code belongs to the end-user, so it should be configured by the end-user in the OpenID Provider.</span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="EN-US">The CIBA flow doesn't have an interactive session with the end-user, but is the user who is contacted directly in his authentication device, what means that the end-user
 won't have the possibility to introduce the spam-code in his authentication, so, it only could be done by the Client.</span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="EN-US"> </span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="EN-US">We think that it would be possible to add support for that in CIBA as follow:</span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="EN-US"> </span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="EN-US">1.            A new OPTIONAL field "spam-code" in the CIBA authentication request.</span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="EN-US">2.            An specific error in case of the end-user had the anti-spam activatedin the OIDC and the Service Provider didn't include it in the authentication request.</span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="EN-US"> </span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="EN-US">It is worth it to highlight that this would be an optional feature implemented by the OIDC's and it should be "out of the scope" of CIBA to define how the end-user would
 share the spam-code with the Service Provider and how the end-user would configure the spam-code in the OIDC.</span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="EN-US"> </span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="EN-US">I would like to know again your point of view on that in order to resolve this issue.</span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="EN-US"> </span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="ES">Best,</span><o:p></o:p></p>
<p class="MsoNormal" style="margin-top:6.0pt;mso-margin-bottom-alt:auto"><span lang="ES">Gonza.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="ES"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="ES"> </span><o:p></o:p></p>
<div class="MsoNormal" align="center" style="text-align:center"><span lang="ES">
<hr size="2" width="100%" align="center">
</span></div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="ES" style="font-size:7.5pt;font-family:"Arial","sans-serif";color:gray"><br>
Este mensaje y sus adjuntos se dirigen exclusivamente a su destinatario, puede contener información privilegiada o confidencial y es para uso exclusivo de la persona o entidad de destino. Si no es usted. el destinatario indicado, queda notificado de que la
 lectura, utilización, divulgación y/o copia sin autorización puede estar prohibida en virtud de la legislación vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma vía y proceda a su destrucción.<br>
<br>
The information contained in this transmission is privileged and confidential information intended only for the use of the individual or entity named above. If the reader of this message is not the intended recipient, you are hereby notified that any dissemination,
 distribution or copying of this communication is strictly prohibited. If you have received this transmission in error, do not read it. Please immediately reply to the sender that you have received this communication in error and then delete it.<br>
<br>
Esta mensagem e seus anexos se dirigem exclusivamente ao seu destinatário, pode conter informação privilegiada ou confidencial e é para uso exclusivo da pessoa ou entidade de destino. Se não é vossa senhoria o destinatário indicado, fica notificado de que a
 leitura, utilização, divulgação e/ou cópia sem autorização pode estar proibida em virtude da legislação vigente. Se recebeu esta mensagem por erro, rogamos-lhe que nos o comunique imediatamente por esta mesma via e proceda a sua destruição</span><o:p></o:p></p>
<pre><span lang="EN-GB">_________________________________________________________________________________________________________________________</span><o:p></o:p></pre>
<pre><span lang="EN-GB"> </span><o:p></o:p></pre>
<pre><span lang="EN-GB">Ce message et ses pieces jointes peuvent contenir des informations confidentielles ou privilegiees et ne doivent donc</span><o:p></o:p></pre>
<pre><span lang="EN-GB">pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu ce message par erreur, veuillez le signaler</span><o:p></o:p></pre>
<pre><span lang="EN-GB">a l'expediteur et le detruire ainsi que les pieces jointes. Les messages electroniques etant susceptibles d'alteration,</span><o:p></o:p></pre>
<pre><span lang="EN-GB">Orange decline toute responsabilite si ce message a ete altere, deforme ou falsifie. Merci.</span><o:p></o:p></pre>
<pre><span lang="EN-GB"> </span><o:p></o:p></pre>
<pre><span lang="EN-GB">This message and its attachments may contain confidential or privileged information that may be protected by law;</span><o:p></o:p></pre>
<pre><span lang="EN-GB">they should not be distributed, used or copied without authorisation.</span><o:p></o:p></pre>
<pre><span lang="EN-GB">If you have received this email in error, please notify the sender and delete this message and its attachments.</span><o:p></o:p></pre>
<pre><span lang="EN-GB">As emails may be altered, Orange is not liable for messages that have been modified, changed or falsified.</span><o:p></o:p></pre>
<pre><span lang="EN-GB">Thank you.</span><o:p></o:p></pre>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> </span><o:p></o:p></p>
<div class="MsoNormal" align="center" style="text-align:center"><span lang="EN-GB">
<hr size="2" width="100%" align="center">
</span></div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:7.5pt;font-family:"Arial","sans-serif";color:gray"><br>
Este mensaje y sus adjuntos se dirigen exclusivamente a su destinatario, puede contener información privilegiada o confidencial y es para uso exclusivo de la persona o entidad de destino. Si no es usted. el destinatario indicado, queda notificado de que la
 lectura, utilización, divulgación y/o copia sin autorización puede estar prohibida en virtud de la legislación vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma vía y proceda a su destrucción.<br>
<br>
The information contained in this transmission is privileged and confidential information intended only for the use of the individual or entity named above. If the reader of this message is not the intended recipient, you are hereby notified that any dissemination,
 distribution or copying of this communication is strictly prohibited. If you have received this transmission in error, do not read it. Please immediately reply to the sender that you have received this communication in error and then delete it.<br>
<br>
Esta mensagem e seus anexos se dirigem exclusivamente ao seu destinatário, pode conter informação privilegiada ou confidencial e é para uso exclusivo da pessoa ou entidade de destino. Se não é vossa senhoria o destinatário indicado, fica notificado de que a
 leitura, utilização, divulgação e/ou cópia sem autorização pode estar proibida em virtude da legislação vigente. Se recebeu esta mensagem por erro, rogamos-lhe que nos o comunique imediatamente por esta mesma via e proceda a sua destruição</span><o:p></o:p></p>
<pre>_________________________________________________________________________________________________________________________<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Ce message et ses pieces jointes peuvent contenir des informations confidentielles ou privilegiees et ne doivent donc<o:p></o:p></pre>
<pre>pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu ce message par erreur, veuillez le signaler<o:p></o:p></pre>
<pre>a l'expediteur et le detruire ainsi que les pieces jointes. Les messages electroniques etant susceptibles d'alteration,<o:p></o:p></pre>
<pre>Orange decline toute responsabilite si ce message a ete altere, deforme ou falsifie. Merci.<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>This message and its attachments may contain confidential or privileged information that may be protected by law;<o:p></o:p></pre>
<pre>they should not be distributed, used or copied without authorisation.<o:p></o:p></pre>
<pre>If you have received this email in error, please notify the sender and delete this message and its attachments.<o:p></o:p></pre>
<pre>As emails may be altered, Orange is not liable for messages that have been modified, changed or falsified.<o:p></o:p></pre>
<pre>Thank you.<o:p></o:p></pre>
<pre>_________________________________________________________________________________________________________________________<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Ce message et ses pieces jointes peuvent contenir des informations confidentielles ou privilegiees et ne doivent donc<o:p></o:p></pre>
<pre>pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu ce message par erreur, veuillez le signaler<o:p></o:p></pre>
<pre>a l'expediteur et le detruire ainsi que les pieces jointes. Les messages electroniques etant susceptibles d'alteration,<o:p></o:p></pre>
<pre>Orange decline toute responsabilite si ce message a ete altere, deforme ou falsifie. Merci.<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>This message and its attachments may contain confidential or privileged information that may be protected by law;<o:p></o:p></pre>
<pre>they should not be distributed, used or copied without authorisation.<o:p></o:p></pre>
<pre>If you have received this email in error, please notify the sender and delete this message and its attachments.<o:p></o:p></pre>
<pre>As emails may be altered, Orange is not liable for messages that have been modified, changed or falsified.<o:p></o:p></pre>
<pre>Thank you.<o:p></o:p></pre>
</div>
</div>
</div>
<div>
<div>
<pre>_________________________________________________________________________________________________________________________<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Ce message et ses pieces jointes peuvent contenir des informations confidentielles ou privilegiees et ne doivent donc<o:p></o:p></pre>
<pre>pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu ce message par erreur, veuillez le signaler<o:p></o:p></pre>
<pre>a l'expediteur et le detruire ainsi que les pieces jointes. Les messages electroniques etant susceptibles d'alteration,<o:p></o:p></pre>
<pre>Orange decline toute responsabilite si ce message a ete altere, deforme ou falsifie. Merci.<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>This message and its attachments may contain confidential or privileged information that may be protected by law;<o:p></o:p></pre>
<pre>they should not be distributed, used or copied without authorisation.<o:p></o:p></pre>
<pre>If you have received this email in error, please notify the sender and delete this message and its attachments.<o:p></o:p></pre>
<pre>As emails may be altered, Orange is not liable for messages that have been modified, changed or falsified.<o:p></o:p></pre>
<pre>Thank you.<o:p></o:p></pre>
</div>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:12.0pt"><br>
_______________________________________________<br>
Openid-specs-mobile-profile mailing list<br>
<a href="mailto:Openid-specs-mobile-profile@lists.openid.net" target="_blank">Openid-specs-mobile-profile@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-mobile-profile" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-mobile-profile</a><o:p></o:p></p>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><br>
<br clear="all">
<o:p></o:p></p>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">--
<o:p></o:p></p>
</div>
</div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:10.5pt;font-family:"Open Sans","sans-serif";color:#00A4B7">Dave Tonge</span></b><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#333333">CTO</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#333333"><a href="http://www.google.com/url?q=http%3A%2F%2Fmoneyhubenterprise.com%2F&sa=D&sntz=1&usg=AFQjCNGUnR5opJv5S1uZOVg8aISwPKAv3A" target="_blank"><span style="color:#835EA5;border:solid windowtext 1.0pt;padding:0cm;text-decoration:none"><img border="0" width="200" height="50" id="m_-3076476420525160964m_-1520768907052051525m_8657659864521352786m_2730943742254380631_x005f_x0000_i1027" src="cid:image001.jpg@01D3BF6D.62F0B900" alt="Image supprimée par l'expéditeur. Moneyhub Enterprise"></span></a></span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#00A4B7"><a href="https://maps.google.com/?q=10+Temple+Back,+Bristol,+BS1+6FL&entry=gmail&source=g" target="_blank">10
 Temple Back, Bristol, BS1 6FL</a></span><o:p></o:p></p>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#00A4B7">t: </span></b><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#333333">+44
 (0)117 280 5120</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.5pt;font-family:"Open Sans","sans-serif";color:#616161"> </span><o:p></o:p></p>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333">Moneyhub Enterprise is a trading style of Momentum Financial Technology Limited which is authorised
 and regulated by the Financial Conduct Authority ("FCA"). Momentum Financial Technology is entered on the Financial Services Register (FRN </span><b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#00A4B7">561538</span></b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333">)
 at <a href="http://fca.org.uk/register" target="_blank">fca.org.uk/register</a>. Momentum Financial Technology is registered in England & Wales, company registration number </span><b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#00A4B7">06909772</span></b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333"> </span><span style="font-size:7.5pt;font-family:"Arial","sans-serif";color:#222222">©</span><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333"> . Momentum
 Financial Technology Limited 2016. </span><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#888888">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email
 or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls
 and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions
 of Momentum Financial Technology Limited or of any other group company.</span><o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<pre>_________________________________________________________________________________________________________________________<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Ce message et ses pieces jointes peuvent contenir des informations confidentielles ou privilegiees et ne doivent donc<o:p></o:p></pre>
<pre>pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu ce message par erreur, veuillez le signaler<o:p></o:p></pre>
<pre>a l'expediteur et le detruire ainsi que les pieces jointes. Les messages electroniques etant susceptibles d'alteration,<o:p></o:p></pre>
<pre>Orange decline toute responsabilite si ce message a ete altere, deforme ou falsifie. Merci.<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>This message and its attachments may contain confidential or privileged information that may be protected by law;<o:p></o:p></pre>
<pre>they should not be distributed, used or copied without authorisation.<o:p></o:p></pre>
<pre>If you have received this email in error, please notify the sender and delete this message and its attachments.<o:p></o:p></pre>
<pre>As emails may be altered, Orange is not liable for messages that have been modified, changed or falsified.<o:p></o:p></pre>
<pre>Thank you.<o:p></o:p></pre>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><br>
<br clear="all">
<o:p></o:p></p>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">--
<o:p></o:p></p>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:10.5pt;font-family:"Open Sans","sans-serif";color:#00A4B7">Dave Tonge</span></b><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#333333">CTO</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#333333"><a href="http://www.google.com/url?q=http%3A%2F%2Fmoneyhubenterprise.com%2F&sa=D&sntz=1&usg=AFQjCNGUnR5opJv5S1uZOVg8aISwPKAv3A" target="_blank"><span style="color:#835EA5;border:solid windowtext 1.0pt;padding:0cm;text-decoration:none"><img border="0" width="200" height="50" id="m_-3076476420525160964m_-1520768907052051525m_8657659864521352786_x005f_x0000_i1028" src="cid:image001.jpg@01D3BF6D.62F0B900" alt="Image supprimée par l'expéditeur. Moneyhub Enterprise"></span></a></span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#00A4B7"><a href="https://maps.google.com/?q=10+Temple+Back,+Bristol,+BS1+6FL&entry=gmail&source=g" target="_blank">10
 Temple Back, Bristol, BS1 6FL</a></span><o:p></o:p></p>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#00A4B7">t: </span></b><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#333333">+44
 (0)117 280 5120</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.5pt;font-family:"Open Sans","sans-serif";color:#616161"> </span><o:p></o:p></p>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333">Moneyhub Enterprise is a trading style of Momentum Financial Technology Limited which is authorised
 and regulated by the Financial Conduct Authority ("FCA"). Momentum Financial Technology is entered on the Financial Services Register (FRN </span><b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#00A4B7">561538</span></b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333">)
 at <a href="http://fca.org.uk/register" target="_blank">fca.org.uk/register</a>. Momentum Financial Technology is registered in England & Wales, company registration number </span><b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#00A4B7">06909772</span></b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333"> </span><span style="font-size:7.5pt;font-family:"Arial","sans-serif";color:#222222">©</span><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333"> . Momentum
 Financial Technology Limited 2016. </span><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#888888">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email
 or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls
 and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions
 of Momentum Financial Technology Limited or of any other group company.</span><o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<div>
<div>
<pre>_________________________________________________________________________________________________________________________<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Ce message et ses pieces jointes peuvent contenir des informations confidentielles ou privilegiees et ne doivent donc<o:p></o:p></pre>
<pre>pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu ce message par erreur, veuillez le signaler<o:p></o:p></pre>
<pre>a l'expediteur et le detruire ainsi que les pieces jointes. Les messages electroniques etant susceptibles d'alteration,<o:p></o:p></pre>
<pre>Orange decline toute responsabilite si ce message a ete altere, deforme ou falsifie. Merci.<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>This message and its attachments may contain confidential or privileged information that may be protected by law;<o:p></o:p></pre>
<pre>they should not be distributed, used or copied without authorisation.<o:p></o:p></pre>
<pre>If you have received this email in error, please notify the sender and delete this message and its attachments.<o:p></o:p></pre>
<pre>As emails may be altered, Orange is not liable for messages that have been modified, changed or falsified.<o:p></o:p></pre>
<pre>Thank you.<o:p></o:p></pre>
</div>
</div>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><br>
<br clear="all">
<o:p></o:p></p>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">--
<o:p></o:p></p>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:10.5pt;font-family:"Open Sans","sans-serif";color:#00A4B7">Dave Tonge</span></b><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#333333">CTO</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#333333"><a href="http://www.google.com/url?q=http%3A%2F%2Fmoneyhubenterprise.com%2F&sa=D&sntz=1&usg=AFQjCNGUnR5opJv5S1uZOVg8aISwPKAv3A" target="_blank"><span style="color:#835EA5;border:solid windowtext 1.0pt;padding:0cm;text-decoration:none"><img border="0" width="200" height="50" id="m_-3076476420525160964m_-1520768907052051525_x005f_x0000_i1029" src="cid:image001.jpg@01D3BF6D.62F0B900" alt="Image supprimée par l'expéditeur. Moneyhub Enterprise"></span></a></span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#00A4B7"><a href="https://maps.google.com/?q=10+Temple+Back,+Bristol,+BS1+6FL&entry=gmail&source=g" target="_blank">10
 Temple Back, Bristol, BS1 6FL</a></span><o:p></o:p></p>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#00A4B7">t: </span></b><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#333333">+44
 (0)117 280 5120</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.5pt;font-family:"Open Sans","sans-serif";color:#616161"> </span><o:p></o:p></p>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333">Moneyhub Enterprise is a trading style of Momentum Financial Technology Limited which is authorised
 and regulated by the Financial Conduct Authority ("FCA"). Momentum Financial Technology is entered on the Financial Services Register (FRN </span><b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#00A4B7">561538</span></b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333">)
 at <a href="http://fca.org.uk/register" target="_blank">fca.org.uk/register</a>. Momentum Financial Technology is registered in England & Wales, company registration number </span><b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#00A4B7">06909772</span></b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333"> </span><span style="font-size:7.5pt;font-family:"Arial","sans-serif";color:#222222">©</span><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333"> . Momentum
 Financial Technology Limited 2016. </span><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#888888">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email
 or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls
 and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions
 of Momentum Financial Technology Limited or of any other group company.</span><o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<div>
<div>
<pre>_________________________________________________________________________________________________________________________<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Ce message et ses pieces jointes peuvent contenir des informations confidentielles ou privilegiees et ne doivent donc<o:p></o:p></pre>
<pre>pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu ce message par erreur, veuillez le signaler<o:p></o:p></pre>
<pre>a l'expediteur et le detruire ainsi que les pieces jointes. Les messages electroniques etant susceptibles d'alteration,<o:p></o:p></pre>
<pre>Orange decline toute responsabilite si ce message a ete altere, deforme ou falsifie. Merci.<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>This message and its attachments may contain confidential or privileged information that may be protected by law;<o:p></o:p></pre>
<pre>they should not be distributed, used or copied without authorisation.<o:p></o:p></pre>
<pre>If you have received this email in error, please notify the sender and delete this message and its attachments.<o:p></o:p></pre>
<pre>As emails may be altered, Orange is not liable for messages that have been modified, changed or falsified.<o:p></o:p></pre>
<pre>Thank you.<o:p></o:p></pre>
</div>
</div>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><br>
<br clear="all">
<o:p></o:p></p>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">--
<o:p></o:p></p>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:10.5pt;font-family:"Open Sans","sans-serif";color:#00A4B7">Dave Tonge</span></b><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#333333">CTO</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#333333"><a href="http://www.google.com/url?q=http%3A%2F%2Fmoneyhubenterprise.com%2F&sa=D&sntz=1&usg=AFQjCNGUnR5opJv5S1uZOVg8aISwPKAv3A" target="_blank"><span style="color:#835EA5;border:solid windowtext 1.0pt;padding:0cm;text-decoration:none"><img border="0" width="200" height="50" id="m_-3076476420525160964_x005f_x0000_i1030" src="cid:image001.jpg@01D3BF6D.62F0B900" alt="Image supprimée par l'expéditeur. Moneyhub Enterprise"></span></a></span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#00A4B7"><a href="https://maps.google.com/?q=10+Temple+Back,+Bristol,+BS1+6FL&entry=gmail&source=g">10 Temple
 Back, Bristol, BS1 6FL</a></span><o:p></o:p></p>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#00A4B7">t: </span></b><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#333333">+44
 (0)117 280 5120</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.5pt;font-family:"Open Sans","sans-serif";color:#616161"> </span><o:p></o:p></p>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333">Moneyhub Enterprise is a trading style of Momentum Financial Technology Limited which is authorised
 and regulated by the Financial Conduct Authority ("FCA"). Momentum Financial Technology is entered on the Financial Services Register (FRN </span><b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#00A4B7">561538</span></b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333">)
 at <a href="http://fca.org.uk/register" target="_blank">fca.org.uk/register</a>. Momentum Financial Technology is registered in England & Wales, company registration number </span><b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#00A4B7">06909772</span></b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333"> </span><span style="font-size:7.5pt;font-family:"Arial","sans-serif";color:#222222">©</span><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333"> . Momentum
 Financial Technology Limited 2016. </span><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#888888">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email
 or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls
 and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions
 of Momentum Financial Technology Limited or of any other group company.</span><o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<div>
<div>
<pre>_________________________________________________________________________________________________________________________<o:p></o:p></pre>
<pre><o:p> </o:p></pre>
<pre>Ce message et ses pieces jointes peuvent contenir des informations confidentielles ou privilegiees et ne doivent donc<o:p></o:p></pre>
<pre>pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu ce message par erreur, veuillez le signaler<o:p></o:p></pre>
<pre>a l'expediteur et le detruire ainsi que les pieces jointes. Les messages electroniques etant susceptibles d'alteration,<o:p></o:p></pre>
<pre>Orange decline toute responsabilite si ce message a ete altere, deforme ou falsifie. Merci.<o:p></o:p></pre>
<pre><o:p> </o:p></pre>
<pre>This message and its attachments may contain confidential or privileged information that may be protected by law;<o:p></o:p></pre>
<pre>they should not be distributed, used or copied without authorisation.<o:p></o:p></pre>
<pre>If you have received this email in error, please notify the sender and delete this message and its attachments.<o:p></o:p></pre>
<pre>As emails may be altered, Orange is not liable for messages that have been modified, changed or falsified.<o:p></o:p></pre>
<pre>Thank you.<o:p></o:p></pre>
</div>
</div>
</div>
</div>
<p class="MsoNormal"><br>
<br clear="all">
<o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<p class="MsoNormal">-- <o:p></o:p></p>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal"><b><span style="font-size:10.5pt;font-family:"Open Sans","sans-serif";color:#00A4B7">Dave Tonge<o:p></o:p></span></b></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#333333">CTO<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#333333"><a href="http://www.google.com/url?q=http%3A%2F%2Fmoneyhubenterprise.com%2F&sa=D&sntz=1&usg=AFQjCNGUnR5opJv5S1uZOVg8aISwPKAv3A" target="_blank"><span style="color:#835EA5;border:solid windowtext 1.0pt;padding:0cm;text-decoration:none"><img border="0" width="200" height="50" id="_x0000_i1031" src="cid:image002.jpg@01D3BF6D.62F0B900" alt="Image supprimée par l'expéditeur. Moneyhub Enterprise"></span></a><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#00A4B7">10 Temple Back, Bristol, BS1 6FL</span><span style="font-size:10.5pt;font-family:"Open Sans","sans-serif";color:#333333"><o:p></o:p></span></p>
</div>
<p class="MsoNormal"><b><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#00A4B7">t: </span></b><span style="font-size:8.5pt;font-family:"Open Sans","sans-serif";color:#333333">+44 (0)117 280 5120</span><span style="font-size:10.5pt;font-family:"Open Sans","sans-serif";color:#333333"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Open Sans","sans-serif";color:#616161"><o:p> </o:p></span></p>
<div>
<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333">Moneyhub Enterprise is a trading style of Momentum Financial Technology Limited which is authorised and regulated by the Financial Conduct Authority ("FCA"). Momentum
 Financial Technology is entered on the Financial Services Register (FRN </span><b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#00A4B7">561538</span></b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333">)
 at <a href="http://fca.org.uk/register" target="_blank">fca.org.uk/register</a>. Momentum Financial Technology is registered in England & Wales, company registration number </span><b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#00A4B7">06909772</span></b><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333"> </span><span style="font-size:7.5pt;font-family:"Arial","sans-serif";color:#222222">©</span><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#333333"> . Momentum
 Financial Technology Limited 2016. </span><span style="font-size:8.0pt;font-family:"Open Sans","sans-serif";color:#888888">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email
 or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls
 and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions
 of Momentum Financial Technology Limited or of any other group company.</span><span style="font-size:10.5pt;font-family:"Open Sans","sans-serif";color:#333333"><o:p></o:p></span></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<PRE>_________________________________________________________________________________________________________________________

Ce message et ses pieces jointes peuvent contenir des informations confidentielles ou privilegiees et ne doivent donc
pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu ce message par erreur, veuillez le signaler
a l'expediteur et le detruire ainsi que les pieces jointes. Les messages electroniques etant susceptibles d'alteration,
Orange decline toute responsabilite si ce message a ete altere, deforme ou falsifie. Merci.

This message and its attachments may contain confidential or privileged information that may be protected by law;
they should not be distributed, used or copied without authorisation.
If you have received this email in error, please notify the sender and delete this message and its attachments.
As emails may be altered, Orange is not liable for messages that have been modified, changed or falsified.
Thank you.
</PRE></body>
</html>