<br><br><div class="gmail_quote">On Tue, Nov 18, 2008 at 6:58 PM, Allen Tom <span dir="ltr">&lt;<a href="mailto:atom@yahoo-inc.com">atom@yahoo-inc.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="Ih2E3d">Dirk Balfanz wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Ok, new spec is up: <a href="http://step2.googlecode.com/svn/spec/openid_oauth_extension/drafts/0/openid_oauth_extension.html" target="_blank">http://step2.googlecode.com/svn/spec/openid_oauth_extension/drafts/0/openid_oauth_extension.html</a><br>

<br>
<br>
<br>
</blockquote>
<br></div>
Hi Dirk,<br>
<br>
It doesn&#39;t look like the hybrid spec changes the OpenID association mechanism, so you should not mention the association mechanism in the last sentence of Section 3.<br></blockquote><div><br></div><div>Good catch. I took out the whole sentence.&nbsp;</div>
<div>&nbsp;</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<br>
Under Security Considerations in Section 11, it would probably be good to mention that anyone knowing the CK can force the SP to display the hybrid approval page, while standard OAuth requires both the CK and the CSecret &nbsp;to display a vanilla OAuth approval page.<br>
</blockquote><div><br></div><div>Good idea. I added a paragraph in Section 11 explaining this.</div><div>&nbsp;</div><div>Dirk.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<br>
Thanks<br><font color="#888888">
Allen<br>
<br>
<br>
</font></blockquote></div><br>