
<HTML>

<HEAD>

<TITLE>Re: [OpenID] Feedback from OpenID demo</TITLE>

</HEAD>

<BODY>

<FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>That&#8217;s really good feedback, thanks for sending Bill.<BR>

<BR>

I just published a blog post exploring these issues. Bill already summarized the ideas, but for a flushed out description, check it out:<BR>

<BR>

<a href="http://www.sociallipstick.com/2009/05/logout-the-other-half-of-the-identity-equation/">http://www.sociallipstick.com/2009/05/logout-the-other-half-of-the-identity-equation/</a><BR>

<BR>

On 5/22/09 9:47 AM, &quot;Bill Shupp&quot; &lt;<a href="hostmaster@shupp.org">hostmaster@shupp.org</a>&gt; wrote:<BR>

<BR>

</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>I did a quick internal OpenID demo here at Digg yesterday, and thought <BR>

I'd share the feedback here.<BR>

<BR>

There were about 20 people there, of which maybe 3 had used OpenID. &nbsp;<BR>

Some people were not technical, though most were. &nbsp;Featured in the <BR>

demo were Plaxo and Facebook for RPs, and Google and MyOpenID as OPs. &nbsp;<BR>

The feedback was not terribly positive, and the criticisms focused on <BR>

two areas:<BR>

<BR>

1) Lack of Single Sign Out in the protocol<BR>

2) &quot;Automatic Login&quot;, as implemented currently at Facebook<BR>

<BR>

Obviously, #2 really highlighted #1. &nbsp;People thought that login should <BR>

be an explicit action, not automatic. &nbsp;When discussing #1, I mentioned <BR>

an idea that Luke Shepard shared this week at IIW, of adding <BR>

&quot;logout_setup&quot; and &quot;logout_immediate&quot; to the protocol. &nbsp;The idea being <BR>

that if you click logout on the RP, it could send a &quot;logout_setup&quot; to <BR>

the OP, which would trigger a popup asking if you also want to logout <BR>

of the OP as well. &nbsp;This idea got a pretty favorable response, and <BR>

seemed to satisfy some of those concerned with the Single Sign Out <BR>

issue. &nbsp;&quot;logout_immediate&quot; could behave similar to <BR>

&quot;checkid_immediate&quot;, where the logout is performed without user <BR>

interaction, and might be favored by higher value RPs like mint.com or <BR>

the like. &nbsp;Obviously, there's room for RP abuse here, though.<BR>

<BR>

Cheers,<BR>

<BR>

Bill Shupp<BR>

_______________________________________________<BR>

general mailing list<BR>

<a href="general@openid.net">general@openid.net</a><BR>

<a href="http://openid.net/mailman/listinfo/general">http://openid.net/mailman/listinfo/general</a><BR>

<BR>

</SPAN></FONT></BLOCKQUOTE>

</BODY>

</HTML>