<HTML>
<HEAD>
<TITLE>Re: [OpenID] Nonces generated by the server?</TITLE>
</HEAD>
<BODY>
<FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>The Janrain PHP library checks the nonce correctly. I personally like the server-generated nonce as it seems to leave open fewer raceconditions.<BR>
<BR>
<BR>
On 3/31/09 3:15 PM, &quot;Andrew Arnott&quot; &lt;<a href="andrewarnott@gmail.com">andrewarnott@gmail.com</a>&gt; wrote:<BR>
<BR>
</SPAN></FONT><BLOCKQUOTE><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>I'm also somewhat curious about how many OpenID consumers actually do nonce checking. Net::OpenID::Consumer for Perl actually ignores the nonce altogether and implements its own timestamp checking due to legacy code for OpenID 1.1, and seems to be vulnerable to replay for up to 30 seconds after a positive assertion. <BR>
</SPAN></FONT></BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'><BR>
The author of the Perl library ought to be ashamed. This kind of thing reduces my confidence in using OpenID at any site other than one that I wrote the library for myself.<BR>
<BR>
Although this is what OSIS testing is all about.  Hopefully there is a test to catch RPs and OPs that don't check the nonce for replays.<BR>
<BR>
</SPAN></FONT></BLOCKQUOTE>
</BODY>
</HTML>