<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style>.EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; }</style>
</head>
<body>
<font face="Arial, sans-serif" size="2">
<div>I&#x2019;ve spent the weekend reading up on OpenID.&nbsp;&nbsp; Very cool, I&#x2019;m interetested.&nbsp;&nbsp; I&#x2019;ve got a couple of questions regarding security of the approach:</div>
<div>&nbsp;</div>
<div>Has a systematic analysis of threats to OpenID been made and published?&nbsp;&nbsp; </div>
<div>&nbsp;</div>
<div>Does OpenID require that SSL be used by the consumer site when fetching the identifier URL?&nbsp;&nbsp; If not, wouldn&#x2019;t that leave the entire sequence of operations vulnerable to DNS spoofing, etc?&nbsp; </div>
<div>&nbsp;</div>
<div>Burt Harris</div>
<div>Microsoft Live Meeting</div>
<div><font face="Times New Roman, serif" size="3">&nbsp;</font></div>
</font>
</body>
</html>