<div dir="ltr">Very good point, Nate.&nbsp; I hadn&#39;t considered #2.&nbsp; Although one might argue that once spyware is on the computer, all confidentiality bets are off period anyway.<br><br><div class="gmail_quote">On Sun, Aug 3, 2008 at 3:10 PM, Nate Klingenstein <span dir="ltr">&lt;<a href="mailto:ndk@internet2.edu">ndk@internet2.edu</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Andrew,<br>
<br>
I agree with you in general, but you might face resistance.<br>
<br>
We&#39;ve faced this issue in Shibboleth for a long time because SAML 1.1 has no encryption of the payload. &nbsp;As a result, we faced two choices. &nbsp;We could ship nothing particularly valuable in the payload and do a back-channel call for attributes, which was generally via mutually authenticated TLS(we have to be careful whom we released student information to). &nbsp;The alternative was to &quot;push&quot; the attributes through the browser without encryption. &nbsp;There was TLS/SSL used on both legs of the journey. &nbsp;Attribute push still encountered strong resistance for two reasons.<br>

<br>
1) &nbsp;The user can see all their attributes. &nbsp;I don&#39;t consider this a significant problem, but a few minor use cases may require confidentiality between providers.<br>
2) &nbsp;The user&#39;s spyware -- and many users have plenty of it -- can see all the user&#39;s attributes too. &nbsp;Harvesting attributes is trivially automated and fun for all ages. &nbsp;This is, of course, a very large problem, and often ends discussions immediately.<br>

<br>
#2 was sufficient for almost everyone to avoid attribute push, despite also having major problems with the setup of mutually authenticated TLS. &nbsp;We now default to attribute push in SAML 2.0, but would probably have to revert back to the callback method.<br>

<br>
Take care,<br><font color="#888888">
Nate.</font><div><div></div><div class="Wj3C7c"><br>
<br>
<br>
On 3 Aug 2008, at 21:45, Andrew Arnott wrote:<br>
<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
The openid.response_nonce won&#39;t be helpful here. &nbsp;If your RP can work only with HTTPS OP endpoints, and if your RP has an https:// return_to address, then you&#39;re already golden. &nbsp;The authenticating user will have the opportunity to see the information flash by in transit, but no one else will, and presumably this information isn&#39;t to be held private against the user himself! :)<br>

</blockquote>
<br>
</div></div></blockquote></div><br></div>