
It is all clear now. <div><br></div><div>You can re-start from the current head version. </div><div><br></div><div>Cheers, </div><div><br></div><div>=nat<br><br><div class="gmail_quote">On Wed, Dec 14, 2011 at 10:37 AM, Nat Sakimura <span dir="ltr"><<a href="mailto:sakimura@gmail.com">sakimura@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Oh no. This is a disaster. <div>I just noticed that Basic was out of sync but the commit now reverted all the correct changes that we made. It is something that was dealt with #298. Since the ticket was stating only about Messages and Standard, it did not deal with Basic. </div>


<div><br></div><div>Folks, do not work on the current head. </div><span class="HOEnZb"><font color="#888888"><div><br></div></font></span><div><span class="HOEnZb"><font color="#888888">=nat</font></span><div><div class="h5">

<br><br><div class="gmail_quote">On Wed, Dec 14, 2011 at 6:35 AM, Mike Jones <span dir="ltr"><<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div lang="EN-US" link="blue" vlink="purple">

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">P.S.  Is there any other text that any of you are aware is out of date (or out of sync between Basic and Standard/Messages)?  If so, now’s the time to correct

 it…<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<div>

<div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> <a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a> [mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a>]

<b>On Behalf Of </b>Mike Jones<br>

<b>Sent:</b> Tuesday, December 13, 2011 9:30 PM<br>

<b>To:</b> Nat Sakimura</span></p><div><div><br>

<b>Cc:</b> <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a><br>

<b>Subject:</b> Re: [Openid-specs-ab] FW: NIST 800-63-1 FINAL<u></u><u></u></div></div><p></p>

</div>

</div><div><div>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">In that case, you should probably review the checkin that Edmund made to Basic and Standard fix this bug, since he copied a lot of the Security Considerations

 text from Basic to Standard.  If that was out of date, it will need to be corrected in both places.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">If there are fewer security considerations that apply to Basic than Standard, they should remain distinct.  If they are EXACTLY the same (i.e. there are no

 security considerations in Standard that don’t apply to Basic), then I think it’s OK to reference the ones in Standard from Basic.  (Although I suspect there have to be more that are pertinent to Standard.)<u></u><u></u></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">For what it’s worth, there’s already one significant reference from Basic to Messages in which it says to refer to it if the implementer wants to process the

 ID Token directly.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">                                                            -- Mike<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Nat Sakimura

<a href="mailto:[mailto:sakimura@gmail.com]" target="_blank">[mailto:sakimura@gmail.com]</a> <br>

<b>Sent:</b> Tuesday, December 13, 2011 8:47 PM<br>

<b>To:</b> Mike Jones<br>

<b>Cc:</b> <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a><br>

<b>Subject:</b> Re: [Openid-specs-ab] FW: NIST 800-63-1 FINAL<u></u><u></u></span></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">Actually, Basic's Security consideration is stale. <u></u><u></u></p>

<div>

<p class="MsoNormal">In standard and messages, we decided to include the description of the threat directly in the spec so we no longer need to reference SP800-63. It also removed the word "assertion" as well. <u></u><u></u></p>


</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">We should do the same with the Basic. <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">Now, here is a question. <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">We have been avoiding to reference standard or messages from Basic. <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">In general, it would be good, but I am not sure if we really need to carry it through for security consideration as well? Perhaps just referencing the security consideration of the Standard suffice? <u></u><u></u></p>


</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">=nat<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><u></u> <u></u></p>

<div>

<p class="MsoNormal">On Wed, Dec 14, 2011 at 1:33 AM, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>> wrote:<u></u><u></u></p>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">We reference 800-63 in our specs.  We probably should update the reference.  I’ll file a bug.</span><u></u><u></u></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Also, oddly, this is referenced in Basic but not in Messages or Standard.  In the bug, I’ll also

 include instructions to copy this to the appropriate place, since everything in Basic should be in one or the other of these specs.</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">                                                            -- Mike</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p>

<div>

<div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p>

</div>

</div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Stephen Skordinski

<a href="mailto:[mailto:sskordinski@electrosoft-inc.com]" target="_blank">[mailto:sskordinski@electrosoft-inc.com]</a>

<br>

<b>Sent:</b> Tuesday, December 13, 2011 8:31 AM<br>

<b>To:</b> AB; <a href="mailto:dsif@tscp.org" target="_blank">dsif@tscp.org</a><br>

<b>Subject:</b> NIST 800-63-1 FINAL</span><u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">No, that's not a typo in the subject, after years of reviews and revisions, NIST 800-63-1 is now a final release.<u></u><u></u></p>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">Article: <a href="http://www.nist.gov/itl/csd/sp80063-121311.cfm" target="_blank">http://www.nist.gov/itl/csd/sp80063-121311.cfm</a><u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">Document: <a href="http://www.nist.gov/customcf/get_pdf.cfm?pub_id=910006" target="_blank">http://www.nist.gov/customcf/get_pdf.cfm?pub_id=910006</a><u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">-Steve<u></u><u></u></p>

</div>

</div>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><u></u><u></u></p>

</div>

<p class="MsoNormal"><br>

<br clear="all">

<u></u><u></u></p>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<p class="MsoNormal">-- <br>

Nat Sakimura (=nat)<u></u><u></u></p>

<div>

<p class="MsoNormal">Chairman, OpenID Foundation<br>

<a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>

@_nat_en<u></u><u></u></p>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

</div></div></div>

</div>


</blockquote></div><br><br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div><br>

</div></div></div>

</blockquote></div><br><br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div><br>

</div>