<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Currently the GSMA only supports the notification mode.<div class=""><br class=""></div><div class="">The issue was around validating a sector identifier URI for use in the polling mode when there is no redirect.</div><div class=""><br class=""></div><div class="">If an attacker gets control of an endpoint on the client then you probably have more significant problems than just CIBA.</div><div class=""><br class=""></div><div class="">I tend to agree that delivering the code to the notification endpoint and having the client use that to continue a normal flow is probably easier to implement for many ISV.   I don’t know if it is really that much more secure.  It may be in that people tend to be really bad at certificate validation.  As part of the authn request were could include a thumbprint of the certificate on the notification endpoint, but that would likely not get widely implemented.</div><div class=""><br class=""></div><div class="">John B.</div><div class=""><br class=""></div><div class=""><br class=""></div><div class=""><br class=""><div><br class=""><blockquote type="cite" class=""><div class="">On Jun 14, 2018, at 11:58 AM, Dave Tonge <<a href="mailto:dave.tonge@momentumft.co.uk" class="">dave.tonge@momentumft.co.uk</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class=""><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Hi John</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br class=""></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Thanks for the info.</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br class=""></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">In terms of the risk of an attacker gaining control of the client notification endpoint then the OP presenting a cert wont help? </div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">It would help if the client notification endpoint was protected with a certificate issued by a federation operator (e.g. OpenBanking). However such a requirement would increase the operational complexity of many ecosystems.</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br class=""></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">I know its a bit late in the day, but I'd argue that the cost of an extra API call required by this approach is far outweighed by the benefits.</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br class=""></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Is the notification mode being adopted by Mobile Connect? </div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br class=""></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Thanks</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br class=""></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Dave</div></div><div class="gmail_extra"><br class=""><div class="gmail_quote">On 13 June 2018 at 17:20, John Bradley <span dir="ltr" class=""><<a href="mailto:ve7jtb@ve7jtb.com" target="_blank" class="">ve7jtb@ve7jtb.com</a>></span> wrote:<br class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space" class="">I think something like that was suggested earlier in the spec discussion.<div class=""><br class=""></div><div class="">I think there was push back around the extra call required.</div><div class=""><br class=""></div><div class="">For the post it can be over a mutual TLS connection.  I don’t know that MATLS from the client is that much more secure than MATLS to the client.</div><div class=""><br class=""></div><div class="">For the FAPI profile we may want to provide advice on certificate validation. </div><div class=""><br class=""></div><div class="">On the other hand I think polling is probably the better option in most cases.</div><div class=""><br class=""></div><div class="">The reason for post back are perceived concerns about delay and load. </div><div class=""><br class=""></div><div class="">John B.<div class=""><div class="h5"><br class=""><div class=""><br class=""><blockquote type="cite" class=""><div class="">On Jun 13, 2018, at 1:10 AM, Dave Tonge <<a href="mailto:dave.tonge@momentumft.co.uk" target="_blank" class="">dave.tonge@momentumft.co.uk</a>> wrote:</div><br class="m_-6682029371811733630Apple-interchange-newline"><div class=""><div dir="ltr" style="font-family:Helvetica;font-size:12px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;text-decoration:none" class=""><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Hi Mike</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br class=""></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Its a good point with regards to pushing tokens and that mode is unlikely to be supported by UK OpenBanking - they'll rely on the polling method.</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br class=""></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">From a FAPI perspective we currently do include the notification mode, but on reflection I think that it would be preferable to change the notification mode to NOT deliver the token, but rather to inform the client that they can go and fetch the token. i.e. the payload for client notification could contain the auth_req_id, but nothing else. The client would then need to make an authenticated call to the token endpoint to get the token. This is how webhooks work in the banks that support them - no sensitive data or token is sent via webhook, rather ids are sent which can be used by an authenticated client to access resources.</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br class=""></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">John, Bjorn, Gonzalo what do you think about this approach? It would simplify the document quite a bit and in my mind brings the best of both worlds: no polling but secure token delivery. </div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br class=""></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Dave</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br class=""></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br class=""></div></div><div class="gmail_extra" style="font-family:Helvetica;font-size:12px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;text-decoration:none"><br class=""><div class="gmail_quote">On 7 June 2018 at 20:11, Mike Schwartz<span class="m_-6682029371811733630Apple-converted-space"> </span><span dir="ltr" class=""><<a href="mailto:mike@gluu.org" target="_blank" class="">mike@gluu.org</a>></span><span class="m_-6682029371811733630Apple-converted-space"> </span>wrote<wbr class="">:<br class=""><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">MODRNA Group,<br class=""><br class="">CIBA was discussed on the UMA WG call today. Eve has been working on a compare/contrast analysis between UMA and CIBA. And this discussion got me thinking a little more...<br class=""><br class="">One point from Justin Richer was that you are sending tokens back to the Client Notification Endpoint. This is risky, as you are trusting DNS. UMA makes the client authenticate at the token endpoint to obtain the tokens. Pushing tokens was discussed and dismissed as lacking security. I'm surprised the Open Banking group was ok with this.<br class=""><br class="">I also wonder if the response from the bc_authorize should include an id_token--I think it should be some other signed JWT assertion (with many of the claims present in an id_token). It seems weird to me to return an id_token to a client when the subject is not the person connected to the user agent.<br class=""><br class="">IMHO, CIBA could be accomplished using UMA as the security mechanism, with bc_authorize as the RS (protected endpoint on the OP). Its request and response would be defined much as you did.<br class=""><br class="">If you are starting from scratch, is it easier to implement CIBA with UMA for security, or CIBA plus it's one-off security model? Personally, I think UMA would be cheaper because we'd get more re-use.<br class=""><br class="">If I get some time in the next week, I'll try to write up a draft of CIBA using UMA. HEART also uses UMA, so it's not unheard of for an OpenID WG to use it as part of a solution.<br class=""><br class="">I know everyone wants to ship ASAP, so it's probably too late to bring this stuff up.<span class="m_-6682029371811733630HOEnZb"><font color="#888888" class=""><br class=""><br class="">- Mike</font></span><div class="m_-6682029371811733630HOEnZb"><div class="m_-6682029371811733630h5"><br class="">______________________________<wbr class="">_________________<br class="">Openid-specs-mobile-profile mailing list<br class=""><a href="mailto:Openid-specs-mobile-profile@lists.openid.net" target="_blank" class="">Openid-specs-mobile-profile@li<wbr class="">sts.openid.net</a><br class=""><a href="http://lists.openid.net/mailman/listinfo/openid-specs-mobile-profile" rel="noreferrer" target="_blank" class="">http://lists.openid.net/mailma<wbr class="">n/listinfo/openid-specs-mobile<wbr class="">-profile</a><br class=""></div></div></blockquote></div><br class=""><br clear="all" class=""><div class=""><br class=""></div>--<span class="m_-6682029371811733630Apple-converted-space"> </span><br class=""><div class="m_-6682029371811733630gmail_signature" data-smartmail="gmail_signature"><div dir="ltr" class=""><div class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div style="font-size:1em;font-weight:bold;line-height:1.4" class=""><div style="color:rgb(97,97,97);font-family:"Open Sans";font-size:14px;font-weight:normal;line-height:21px" class=""><div style="font-family:Arial,Helvetica,sans-serif;font-size:0.925em;line-height:1.4;color:rgb(220,41,30);font-weight:bold" class=""><div style="font-size:14px;font-weight:normal;color:rgb(51,51,51);font-family:lato,"open sans",arial,sans-serif;line-height:normal" class=""><div style="color:rgb(0,164,183);font-weight:bold;font-size:1em;line-height:1.4" class=""><div style="font-weight:400;color:rgb(51,51,51);line-height:normal" class=""><div style="color:rgb(0,164,183);font-weight:bold;font-size:1em;line-height:1.4" class="">Dave Tonge</div><div style="font-size:0.8125em;line-height:1.4" class="">CTO</div><div style="font-size:0.8125em;line-height:1.4;margin:0px" class=""><a href="http://www.google.com/url?q=http%3A%2F%2Fmoneyhubenterprise.com%2F&sa=D&sntz=1&usg=AFQjCNGUnR5opJv5S1uZOVg8aISwPKAv3A" style="color:rgb(131,94,165)" target="_blank" class=""><img alt="Moneyhub Enterprise" height="50" src="http://content.moneyhub.co.uk/images/teal_Moneyhub-Ent_logo_200x50.png" title="Moneyhub Enterprise" width="200" style="border:none;padding:0px;border-top-left-radius:2px;border-top-right-radius:2px;border-bottom-right-radius:2px;border-bottom-left-radius:2px;margin:7px" class=""></a></div><div style="padding:8px 0px" class=""><div style="padding:8px 0px" class=""><span style="color:rgb(0,164,183);font-size:11px" class="">Moneyhub Financial Technology, 2nd Floor, Whitefriars Business Centre, Lewins Mead, Bristol, BS1 2NT</span></div><span style="font-size:11px;line-height:15.925px;color:rgb(0,164,183);font-weight:bold" class=""></span></div><span style="font-size:11px;line-height:15.925px;color:rgb(0,164,183);font-weight:bold" class="">t: </span><span style="font-size:11px;line-height:15.925px" class="">+44 (0)117 280 5120</span><br class=""></div><div style="font-weight:400;color:rgb(97,97,97)" class=""><font color="#00a4b7" class=""><span style="font-size:11px;line-height:15.925px" class=""><br class=""></span></font><div style="color:rgb(51,51,51);line-height:1.4" class=""><span style="font-size:0.75em" class="">Moneyhub Enterprise is a trading style of Moneyhub Financial Technology Limited which is authorised and regulated by the Financial Conduct Authority ("FCA"). </span><span style="font-size:10.5px" class="">Moneyhub</span><span style="font-size:0.75em" class=""> Financial Technology is entered on the Financial Services Register </span><span style="font-size:0.75em;background-color:transparent" class="">(FRN </span><span style="font-size:0.75em;background-color:transparent;color:rgb(0,164,183);font-weight:bold" class="">561538</span><span style="font-size:0.75em;background-color:transparent" class="">) at <a href="http://fca.org.uk/register" target="_blank" class="">fca.org.uk/register</a>. </span><span style="font-size:10.5px" class="">Moneyh<wbr class="">ub</span><span style="font-size:0.75em;background-color:transparent" class=""> Financial Technology is registered in England & Wales, company registration number </span><span style="font-size:0.75em;color:rgb(0,164,183);font-weight:bold;background-color:transparent" class="">06909772</span><span style="font-size:0.75em;background-color:transparent" class=""> </span><span style="color:rgb(34,34,34);font-family:arial,sans-serif;background-color:transparent" class=""><font size="1" class="">©</font></span><span style="font-size:0.75em;background-color:transparent" class=""> . </span><span style="font-size:10.5px" class="">Moneyhub</span><span style="background-color:transparent;font-size:0.75em" class=""> <wbr class="">Financial Technology Limited 2018. </span><span style="background-color:transparent;font-size:0.75em;color:rgb(136,136,136)" class="">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions of Momentum Financial Technology Limited or of any other group company.</span></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></blockquote></div><br class=""></div></div></div></div></blockquote></div><br class=""><br clear="all" class=""><div class=""><br class=""></div>-- <br class=""><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr" class=""><div class=""><div dir="ltr" class=""><div dir="ltr" class=""><div style="font-size:14px;color:rgb(51,51,51);font-family:lato,"open sans",arial,sans-serif;line-height:normal" class=""><div style="color:rgb(0,164,183);font-weight:bold;font-size:1em;line-height:1.4" class="">Dave Tonge</div><div style="font-size:0.8125em;line-height:1.4" class="">CTO</div><div style="font-size:0.8125em;line-height:1.4;margin:0px" class=""><a href="http://www.google.com/url?q=http%3A%2F%2Fmoneyhubenterprise.com%2F&sa=D&sntz=1&usg=AFQjCNGUnR5opJv5S1uZOVg8aISwPKAv3A" style="color:rgb(131,94,165);text-decoration:none" target="_blank" class=""><img alt="Moneyhub Enterprise" height="50" src="http://content.moneyhub.co.uk/images/teal_Moneyhub-Ent_logo_200x50.png" title="Moneyhub Enterprise" width="200" style="border:none;padding:0px;border-radius:2px;margin:7px" class=""></a></div><div style="padding:8px 0px" class=""><div style="padding:8px 0px" class=""><span style="color:rgb(0,164,183);font-size:11px" class="">Moneyhub Financial Technology, 2nd Floor, Whitefriars Business Centre, Lewins Mead, Bristol, BS1 2NT</span></div><span style="font-size:11px;line-height:15.925px;color:rgb(0,164,183);font-weight:bold" class=""></span></div><span style="font-size:11px;line-height:15.925px;color:rgb(0,164,183);font-weight:bold" class="">t: </span><span style="font-size:11px;line-height:15.925px" class="">+44 (0)117 280 5120</span><br class=""></div><div style="color:rgb(97,97,97);font-size:14px;font-family:lato,"open sans",arial,sans-serif" class=""><font color="#00a4b7" class=""><span style="font-size:11px;line-height:15.925px" class=""><br class=""></span></font><div style="color:rgb(51,51,51);line-height:1.4" class=""><span style="font-size:0.75em" class="">Moneyhub Enterprise is a trading style of Moneyhub Financial Technology Limited which is authorised and regulated by the Financial Conduct Authority ("FCA"). </span><span style="font-size:10.5px" class="">Moneyhub</span><span style="font-size:0.75em" class=""> Financial Technology is entered on the Financial Services Register </span><span style="font-size:0.75em;background-color:transparent" class="">(FRN </span><span style="font-size:0.75em;background-color:transparent;color:rgb(0,164,183);font-weight:bold" class="">561538</span><span style="font-size:0.75em;background-color:transparent" class="">) at <a href="http://fca.org.uk/register" target="_blank" class="">fca.org.uk/register</a>. </span><span style="font-size:10.5px" class="">Moneyhub</span><span style="font-size:0.75em;background-color:transparent" class=""> Financial Technology is registered in England & Wales, company registration number </span><span style="font-size:0.75em;color:rgb(0,164,183);font-weight:bold;background-color:transparent" class="">06909772</span><span style="font-size:0.75em;background-color:transparent" class=""> </span><span style="color:rgb(34,34,34);font-family:arial,sans-serif;background-color:transparent" class=""><font size="1" class="">©</font></span><span style="font-size:0.75em;background-color:transparent" class=""> . </span><span style="font-size:10.5px" class="">Moneyhub</span><span style="background-color:transparent;font-size:0.75em" class=""> Financial Technology Limited 2018. </span><span style="background-color:transparent;font-size:0.75em;color:rgb(136,136,136)" class="">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions of Momentum Financial Technology Limited or of any other group company.</span></div></div></div></div></div></div></div>
</div>
</div></blockquote></div><br class=""></div></body></html>