<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=UTF-8" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
<div class="moz-text-html" lang="x-unicode">(Please post this on
security@ not general@)<br>
<br>
James A. Donald wrote:<br>
<blockquote cite="mid454068DF.6050908@echeque.com" type="cite">Protocols
should specify how the communicating parties should interact, not how
everyone in the universe should behave. <br>
</blockquote>
Yes, in theory I understand that absolutely and parts of the
suggestions concerning security indeed affect the protocol.<br>
<blockquote cite="mid454068DF.6050908@echeque.com" type="cite">If the
IDP has a bad logon process, the primary victim is the person who chose
the IDP, so the matter will correct itself. <br>
</blockquote>
I think there will be two victims: The relaying party and the user.
Since the relying party has a responsibility of his own facility and by
allowing OpenID login/authentication procedures he depends on the
IDP's. However as of now, he can't choose which IDP's are trustworthy
either, there is only as binary decision to implement / allow OpenID or
not. Now with being responsible for the authentication of his own
facility, the relying party might be a victim too. So currently I see
here a problem, which has to get solved this way or any other
one....now or later...<br>
<blockquote cite="mid454068DF.6050908@echeque.com" type="cite">Flexibility
is dangerous - as Ipsec demonstrated, but so is trying to dictate
everything to everyone.<br>
</blockquote>
Well, I don't know, what's the difference is, between defining certain
aspects of the protocol, data exchange and conditions to be met in
order to successfully implement the proposed standard, and between the
suggestions I made. I very much see it connected and intertwined with
each other. A standard itself is a definition and as such a dictate ,
some parts explicit and others optional, but still a dictate...<br>
<br>
</div>
<div class="moz-signature">-- <br>
<div><font face="Arial" size="2">Regards</font></div>
<div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2">Signer:      Eddy Nigg, StartCom Ltd.</font></div>
<div><font face="Arial" size="2">Phone:       +1.213.341.0390</font></div>
</div>
</body>
</html>