The attack that I care about here is as follows: <div><br></div><div>1. An attacker creates an authentication request URL. </div><div>2. Then attacker sends it to the victim. </div><div>3. The victim clicks the link and authenticates himself to the OP. </div>
<div>4. The attacker somehow stops the victim getting redirected to the RP. </div><div>5. The attacker uses the artifact to access the RP. </div><div>6. The RP obtains the assertion based on the artifact so that the attacker successfully impersonates the victim. </div>
<div><br></div><div>It seems for this attack to succeeds, the attacker needs to have the control of the victim's browser. </div><div>(because all the sessions are over TLS/SSL, this is the only point that an attacker can obtain the artifact.) </div>
<div><br></div><div>Do we need to care for it? I doubt it since if the attacker has the control over victim's browser, he can practically do anything. </div><div><br></div><div>I came to think about it when I was writing a security consideration against assertion substitution attack. </div>
<div>Your inputs are most welcome. </div><div><br>-- <br>Nat Sakimura (=nat)<br><a href="http://www.sakimura.org/en/">http://www.sakimura.org/en/</a><br><a href="http://twitter.com/_nat_en">http://twitter.com/_nat_en</a><br>

</div>