<div dir="ltr">You guys probably new it, but it is a good read. <div><br></div><div><a href="http://webstersprodigy.net/2013/05/09/common-oauth-issue-you-can-use-to-take-over-accounts/">http://webstersprodigy.net/2013/05/09/common-oauth-issue-you-can-use-to-take-over-accounts/</a><br>
</div><div><br></div><div>BTW, perhaps we should add <span style="color:rgb(85,85,85);font-family:Arial,Tahoma,Verdana;font-size:12.727272033691406px;line-height:20px"> </span><span style="color:rgb(85,85,85);font-family:Arial,Tahoma,Verdana;font-size:12.727272033691406px;line-height:20px">x-frame-options </span>to the spec? </div>
<div style>Also, some tightening up in the security considerations? </div><div style><br></div><div style>I know that this is really an implementation issues but the magnitude of the attack success make me think that perhaps it is a good idea to mention them at least. I being probably the one who want to finish the spec the most... </div>
<div><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>
</div></div>