<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-2022-jp">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Wingdings;

        panose-1:5 0 0 0 0 0 0 0 0 0;}

@font-face

        {font-family:Wingdings;

        panose-1:5 0 0 0 0 0 0 0 0 0;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:"MS PGothic";

        panose-1:2 11 6 0 7 2 5 8 2 4;}

@font-face

        {font-family:"\@MS PGothic";

        panose-1:2 11 6 0 7 2 5 8 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"MS PGothic","sans-serif";

        mso-fareast-language:JA;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p.MsoAcetate, li.MsoAcetate, div.MsoAcetate

        {mso-style-priority:99;

        mso-style-link:"Balloon Text Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:8.0pt;

        font-family:"Tahoma","sans-serif";

        mso-fareast-language:JA;}

span.hoenzb

        {mso-style-name:hoenzb;}

span.EmailStyle18

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

span.BalloonTextChar

        {mso-style-name:"Balloon Text Char";

        mso-style-priority:99;

        mso-style-link:"Balloon Text";

        font-family:"Tahoma","sans-serif";

        mso-fareast-language:JA;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri","sans-serif";}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">It$B!G(Bs my sense that we$B!G(Bve been getting good feedback on Basic, Implicit, Messages, Discovery, and Registration all along because of the developers implementing

 them.  Standard less so, because in practice, you can implement most everything by just reading Messages (or by supplementing Messages with Basic and Implicit).  Session Management has had less feedback because there has been less implementation work to date. 

 (That said, Microsoft developers have recently read through it, which resulted in some of the good feedback we$B!G(Bve received lately – for instance resulting in the practical refinements to RP-initiated logout.)<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">There$B!G(Bs always room for improvement.  But my sense is that, after the round of changes that we$B!G(Bve already agreed to, we$B!G(Bre ready for the Implementer$B!G(Bs Drafts. 

 More review is always good, but as they say at Microsoft, $B!H(Bshipping is a feature too$B!I(B.

</span><span style="font-size:11.0pt;font-family:Wingdings;color:#1F497D">J</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">                                                            -- Mike<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Nat Sakimura [mailto:sakimura@gmail.com]

<br>

<b>Sent:</b> Monday, June 03, 2013 10:37 AM<br>

<b>To:</b> Mike Jones<br>

<b>Cc:</b> openid-specs-ab@lists.openid.net; John Bradley<br>

<b>Subject:</b> Re: Connect Standard annotated word version<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">I +1'ed to #848. <o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Re: authentication definition: In reviewing your comment back to my word comment, I found a descrepancy with the current definition. We are using a phrase like authenticate client and client authentication. Thus, the definition of authentication

 MUST NOT include "End-user". This is a Messages issue, by the way. <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I have done this detail of the read only to Standard. Has anyone else did a careful read on other specs? <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">If we distribute the work, we could finish it in one day. I have only a few hours a day that I can allocate to this, and is taking too long to do. (Now, decreasing sleeping hours is not an option here. I have been working more than 20 hours

 a day last couple of business days.) I do not want to hold it off, but the goal of 2nd Implementer's draft is to publish something completely stable. I think we are in a pretty good shape for Standard now. (If we remove the examples for JWS and JWE, I doubt

 that we need to touch the text even JWS/JWE changes.)  <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">The question is: has the same level of vetting done on other specs? <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>

<div>

<p class="MsoNormal">2013/6/4 Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>><o:p></o:p></p>

<p class="MsoNormal">OK - I'll give you this "SHOULD" if you give me the language proposed in #848 that John signed off on. :-)<br>

<br>

Then, subject to other working group input, I think we will have reached closure on all the proposed changes so we can get back to having proposed Implementer's Drafts today again.<br>

<span style="color:#888888"><br>

<span class="hoenzb">                                -- Mike</span></span><o:p></o:p></p>

<div>

<p class="MsoNormal"><br>

-----Original Message-----<br>

From: Nat Sakimura [mailto:<a href="mailto:sakimura@gmail.com">sakimura@gmail.com</a>]<o:p></o:p></p>

</div>

<div>

<div>

<p class="MsoNormal">Sent: Monday, June 03, 2013 9:16 AM<br>

To: Mike Jones<br>

Cc: <a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>; John Bradley<br>

Subject: Re: Connect Standard annotated word version<br>

<br>

Jun 4, 2013 0:34<span lang="JA">$B!"(B</span>Mike Jones <<a href="mailto:Michael.Jones@microsoft.com">Michael.Jones@microsoft.com</a>> wrote:<br>

<br>

> As for changing the prompt:consent MUST to a SHOULD, I don$B!G(Bt<br>

> understand the $B!H(Bobvious from other actions$B!I(B comment,<br>

<br>

It is quite well known concept.<br>

For example, when you have ordered something to be delivered to your home, you do not need an explicit consent for it since it is obvious.<br>

<br>

Explicit consent really only one of the possible conditions for processing even in EU Data Protection directive.<br>

<br>

In Japan, we are even talking of banning unnecessary explicit consent right now in a government committee. A protocol should not step on these legal issues. It MAY say SHOULD but not MUST.<br>

<br>

As to Pavlov effect, we are not talking about one RP here. It is potentially thousands of them. An OP should have some room to deal with it in the sense of consumer protection. Again, a protocol should not be prescriptive here. OP should be able not to show

 the consent dialogue and return an assertion without attributes other than that of authentication event.<o:p></o:p></p>

</div>

</div>

</div>

<p class="MsoNormal"><br>

<br clear="all">

<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal">-- <br>

Nat Sakimura (=nat)<o:p></o:p></p>

<div>

<p class="MsoNormal">Chairman, OpenID Foundation<br>

<a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>

@_nat_en<o:p></o:p></p>

</div>

</div>

</div>

</body>

</html>