<div>Arrgh!&nbsp; I&#39;m horrible with names.&nbsp; See below for corrected text.</div>
<div>&nbsp;</div>
<div class="gmail_quote">On Wed, May 21, 2008 at 4:03 PM, John Ehn &lt;<a href="mailto:john@extremeswank.com">john@extremeswank.com</a>&gt; wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div>Josh,</div>
<div>&nbsp;</div>
<div>I&#39;m tending to agree with Martin on this one.&nbsp;&nbsp;I guess&nbsp;that statement does, in a roundabout way, implies the Relying Party should do the following:</div>
<div>&nbsp;</div>
<div>*&nbsp;Run discovery against&nbsp;the Claimed Identifier (or use the cached response from a previous discovery), thereby&nbsp;determining&nbsp;the Local Identifier and endpoint URLs</div>
<div>* If a Local Identifier is discovered, compare the Local Identifier with the openid.identity value in the assertion and verify they are the same - if they do not match, then authentication validation MUST fail</div>

<div>* If a Local Identifier is not discovered, compare the Claimed Identifier with the openid.identity value in the assertion and verify they are the same - if they do not match, the Claimed Identifier MUST be ignored, and the value of &quot;openid.identity&quot;&nbsp;MUST be used instead</div>

<div>&nbsp;</div>
<div>I does not state this, though.&nbsp; It is very much open to interpretation.</div>
<div>&nbsp;</div>
<div>Normative text needs to be very specific.&nbsp; If you make a vague statement like &quot;you MUST verify what was received against what you already know&quot;, it can be interpreted very differently depending upon who is reading it.</div>

<div>&nbsp;</div>
<div>Honestly, my client implementation did not perform this check until&nbsp;Martin made mention of it on this list.&nbsp; From what&nbsp;Martin states, it appears&nbsp;there&nbsp;several&nbsp;implementations&nbsp;are affected by this issue, which follows that the specification does not read as clearly as it should.</div>

<div>&nbsp;</div>
<div>Therefore, I suggest taking some action to correct the problem.&nbsp; Sweeping this under the carpet will cause more harm than good.</div>
<div>&nbsp;</div>
<div>Thank you,</div>
<div>&nbsp;</div><font color="#888888">
<div>John Ehn</div>
<div><a href="http://extremeswank.com/" target="_blank">extremeswank.com</a></div></font>
<div>
<div></div>
<div class="Wj3C7c">
<div><br>&nbsp;</div>
<div class="gmail_quote">On Wed, May 21, 2008 at 3:20 PM, Josh Hoyt &lt;<a href="mailto:josh@janrain.com" target="_blank">josh@janrain.com</a>&gt; wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div>On Wed, May 14, 2008 at 11:20 AM, Martin Atkins &lt;<a href="mailto:mart@degeneration.co.uk" target="_blank">mart@degeneration.co.uk</a>&gt; wrote:<br>&gt; &nbsp;* The RP, when verifying that the openid.claimed_id URL in the<br>
&gt; assertion is valid, checks only that the openid2.provider value is<br>&gt; correct, and doesn&#39;t check that the openid2.local_id value matches<br>&gt; (after removing the fragment part) the openid2.identity URL.<br>
</div>[...]<br>
<div>&gt;<br>&gt; Both of the above are currently allowed by the Auth 2.0 spec, but since<br>&gt; doing the above checks doesn&#39;t seem to remove any useful possibilities,<br>&gt; I think there ought to be some sort of errata that requires the checks<br>
&gt; I&#39;ve listed above.<br><br></div>The &quot;Verifying Discovered Information&quot; section[1] of the OpenID 2.0<br>Authentication spec is actually pretty explicit about the fact that<br>the relying party needs to verify this: &quot;If the Claimed Identifier is<br>
included in the assertion, it MUST have been discovered by the Relying<br>Party and the information in the assertion MUST be present in the<br>discovered information.&quot; It then goes on to list the information that<br>
must be verified.<br><br>I think this is already covered.<br><br>Josh<br><br><a href="http://openid.net/specs/openid-authentication-2_0.html#verify_disco" target="_blank">http://openid.net/specs/openid-authentication-2_0.html#verify_disco</a><br>

<div>
<div></div>
<div>_______________________________________________<br>specs mailing list<br><a href="mailto:specs@openid.net" target="_blank">specs@openid.net</a><br><a href="http://openid.net/mailman/listinfo/specs" target="_blank">http://openid.net/mailman/listinfo/specs</a><br>
</div></div></blockquote></div><br></div></div></blockquote></div><br>