<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=UTF-8" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
Josh Hoyt wrote:
<blockquote
 cite="mid34714aad0610271240t13468e38k31db9f6eb8a4652e@mail.gmail.com"
 type="cite">
  <pre wrap="">On 10/27/06, Dan Lyke <a class="moz-txt-link-rfc2396E" href="mailto:danlyke@flutterby.com">&lt;danlyke@flutterby.com&gt;</a> wrote:
  </pre>
  <blockquote type="cite">
    <pre wrap="">On Fri, 27 Oct 2006 12:11:40 -0700, Eddy Nigg (StartCom Ltd.) wrote:
    </pre>
    <blockquote type="cite">
      <pre wrap="">BTW, did anybody of you notice, that the exchange of information
(assoc_handle / shared secret) between the RP and IDP is completely
optional?
      </pre>
    </blockquote>
    <pre wrap="">Yes, but that's up to the Relying Party, so if the Relying Party
doesn't do their homework it's their own damned fault.
    </pre>
  </blockquote>
  <pre wrap=""><!---->
Um, can you explain why it's harmful?
  </pre>
</blockquote>
Can you tell me, why did you implement it in first place?<br>
<br>
<div class="moz-signature">-- <br>
<div><font face="Arial" size="2">Regards</font></div>
<div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2">Signer:      Eddy Nigg, StartCom Ltd.</font></div>
<div><font face="Arial" size="2">Phone:       +1.213.341.0390</font></div>
</div>
</body>
</html>