
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}

o\:* {behavior:url(#default#VML);}

w\:* {behavior:url(#default#VML);}

.shape {behavior:url(#default#VML);}

</style><![endif]--><style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:Consolas;

        panose-1:2 11 6 9 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

pre

        {mso-style-priority:99;

        mso-style-link:"HTML Preformatted Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:10.0pt;

        font-family:"Courier New";}

span.apple-converted-space

        {mso-style-name:apple-converted-space;}

span.HTMLPreformattedChar

        {mso-style-name:"HTML Preformatted Char";

        mso-style-priority:99;

        mso-style-link:"HTML Preformatted";

        font-family:Consolas;}

span.EmailStyle20

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">The text is not vague, it’s an extension point, you have to read the specs closer and not infer things

<o:p></o:p></span></p>

<p class="MsoNormal"><a name="_MailEndCompose"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></a></p>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> Richer, Justin P. [mailto:jricher@mitre.org]

<br>

<b>Sent:</b> Monday, October 21, 2013 9:46 PM<br>

<b>To:</b> Anthony Nadalin<br>

<b>Cc:</b> Torsten Lodderstedt; Nat Sakimura; openid-specs-ab@lists.openid.net<br>

<b>Subject:</b> Re: [Openid-specs-ab] Spec call notes 17-Oct-13<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">So, since you refuse to back up your claim, I'll help you out by pointing out that section 4.2.2 says that a client may use an HTML form to capture the parameters. Which is to say, the page served by the redirect URI would contain code

 that would be able to pull the parameters out of the fragment, which is a technique I've seen. I read this as quite different from the proposed method of the AS returning an HTML form at the request of the client. The text in the RFC is surprisingly vague

 around this point though, so I can see how there could be significant confusion around this mechanism.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"> -- Justin<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">On Oct 21, 2013, at 9:36 PM, Anthony Nadalin <<a href="mailto:tonynad@microsoft.com">tonynad@microsoft.com</a>> wrote:<o:p></o:p></p>

</div>

<p class="MsoNormal"><br>

<br>

<o:p></o:p></p>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">OMG, RTFM, tell me where its prohibited, it’s not, this was a design point</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<div>

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">From:</span></b><span class="apple-converted-space"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span></span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Richer,

 Justin P. [mailto:jricher@<a href="http://mitre.org">mitre.org</a>]<span class="apple-converted-space"> </span><br>

<b>Sent:</b><span class="apple-converted-space"> </span>Monday, October 21, 2013 9:29 PM<br>

<b>To:</b><span class="apple-converted-space"> </span>Anthony Nadalin<br>

<b>Cc:</b><span class="apple-converted-space"> </span>Torsten Lodderstedt; Nat Sakimura;

<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a><br>

<b>Subject:</b><span class="apple-converted-space"> </span>Re: [Openid-specs-ab] Spec call notes 17-Oct-13</span><o:p></o:p></p>

</div>

</div>

</div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">It is neither allowed nor defined in OAuth for either of the existing response types. Can you show me what you read in the spec that made you believe otherwise?<o:p></o:p></p>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> -- Justin<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

<div>

<div>

<div>

<p class="MsoNormal">On Oct 21, 2013, at 4:55 PM, Anthony Nadalin <<a href="mailto:tonynad@microsoft.com"><span style="color:purple">tonynad@microsoft.com</span></a>><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> wrote:<o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal"><br>

<br>

<br>

<o:p></o:p></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">---------1</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">This is not a complete flow, it’s a response that is allowed in Oauth, needs to be added here</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

</div>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<div>

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">From:</span></b><span class="apple-converted-space"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span></span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><a href="mailto:openid-specs-ab-bounces@lists.openid.net"><span style="color:purple">openid-specs-ab-bounces@lists.openid.net</span></a><span class="apple-converted-space"> </span>[mailto:openid-<a href="mailto:specs-ab-bounces@lists.openid.net"><span style="color:purple">specs-ab-bounces@lists.openid.net</span></a>]<span class="apple-converted-space"> </span><b>On

 Behalf Of<span class="apple-converted-space"> </span></b>Torsten Lodderstedt<br>

<b>Sent:</b><span class="apple-converted-space"> </span>Monday, October 21, 2013 9:18 AM<br>

<b>To:</b><span class="apple-converted-space"> </span>Nat Sakimura; Richer, Justin P.<br>

<b>Cc:</b><span class="apple-converted-space"> </span><a href="mailto:openid-specs-ab@lists.openid.net"><span style="color:purple">openid-specs-ab@lists.openid.net</span></a><br>

<b>Subject:</b><span class="apple-converted-space"> </span>Re: [Openid-specs-ab] Spec call notes 17-Oct-13</span><o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt">+1<br>

<br>

This is a complete new flow. It does not replace or modify the fragment-based stuff.<o:p></o:p></p>

<div>

<div>

<div>

<p class="MsoNormal"><br>

<br>

Nat Sakimura <<a href="mailto:sakimura@gmail.com"><span style="color:purple">sakimura@gmail.com</span></a>> schrieb:<o:p></o:p></p>

</div>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal">+1<o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"> <o:p></o:p></p>

<div>

<div>

<div>

<p class="MsoNormal">2013/10/22 Richer, Justin P. <<a href="mailto:jricher@mitre.org" target="_blank"><span style="color:purple">jricher@mitre.org</span></a>><o:p></o:p></p>

</div>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal">I would agree with you if the spec were broken, but it isn't. This isn't a fix, it's an extension and introduction of functionality and should be treated as such.<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal">For what it's worth, now that I've had a chance to read through more of the threads, I'm fine with Mike's approach of leaving necessary extension points in core and defining them fully in an extension that can dig out all the appropriate

 behaviors and considerations.<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> -- Justin<o:p></o:p></p>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal">On Oct 21, 2013, at 2:09 AM, Anthony Nadalin <<a href="mailto:tonynad@microsoft.com" target="_blank"><span style="color:purple">tonynad@microsoft.com</span></a>> wrote:<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><br>

<br>

<br>

<br>

<o:p></o:p></p>

</div>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">-1</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">fixing specifications is in scope at any stage</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><a name="141dba0fa02af2e4__MailEndCompose"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span></a><o:p></o:p></p>

</div>

</div>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<div>

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> Richer, Justin P. [mailto:<a href="mailto:jricher@" target="_blank"><span style="color:purple">jricher@</span></a><a href="http://mitre.org/" target="_blank"><span style="color:purple">mitre.org</span></a>] <br>

<b>Sent:</b> Sunday, October 20, 2013 10:57 PM<br>

<b>To:</b> Mike Jones<br>

<b>Cc:</b> Anthony Nadalin; Nat Sakimura;<span class="apple-converted-space"> </span><a href="mailto:openid-specs-ab@lists.openid.net" target="_blank"><span style="color:purple">openid-specs-ab@lists.openid.net</span></a><br>

<b>Subject:</b> Re: [Openid-specs-ab] Spec call notes 17-Oct-13</span><o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">There's a very big difference between adding an optional parameter that clarifies the presumably-intended parallelism between two parts of the spec suite (registration and discovery) and something which adds a completely new flow and response

 type with all the requisite processing, security considerations, and other matters that haven't been sorted out. Especially when the details are apparently not very clear, from what I can see from other discussion on the list about this. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">In my opinion, adding a feature this deep at this stage of the process makes no sense. Add it as an extension that defines the new flow in context or save it for version 3.1.<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal"> -- Justin<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal">On Oct 17, 2013, at 5:36 PM, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank"><span style="color:purple">Michael.Jones@microsoft.com</span></a>><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> wrote:<o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"> <o:p></o:p></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">There’s no sneaking going on here, any more than there was to add “token_endpoint_auth_signing_alg” for issue #875 (which I know you were in favor of, even

 though it was also a late addition).</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">There’s no mystery why this came up now.  As discussed on Monday’s and today’s calls, during interop testing with Microsoft’s current implementation, we discovered

 that the developers were returning the ID Token as a query parameter when using the “code id_token” flow, because it’s easier for relying parties to code to than having to write JavaScript to handle the fragment and post the result back to an internal site. 

 In response, we changed Multiple Response Types earlier this week to explicitly prohibit this and communicated that back to the team here.  They asked for a POST binding instead, because it’s also easier than the fragment handling, and because they already

 have code to handle this for both SAML and WS-Federation.  It was odd to them that we didn’t have this alternative in OpenID Connect (which we do in OpenID 2.0, by the way).</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">At first I pushed back, but when I realized that Ping also already had this feature and that Google isn’t using the fragment encoding either, I started to agree

 that this made sense.  So I brought it up on the call and agreed to write up proposed text.</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Nothing Machiavellian going on, any more than there was with #875.  Hopefully you’ll review the proposed text when it comes out.  I think you’ll find that it’s

 pretty straightforward.  (If it wasn’t straightforward, I wouldn’t be advocating it.)</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">                                                            -- Mike</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

</div>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<div>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Richer, Justin P. [mailto:<a href="mailto:jricher@" target="_blank"><span style="color:purple">jricher@</span></a><a href="http://mitre.org/" target="_blank"><span style="color:purple">mitre.org</span></a>] <br>

<b>Sent:</b> Thursday, October 17, 2013 1:38 PM<br>

<b>To:</b> Anthony Nadalin; Nat Sakimura; Mike Jones<br>

<b>Cc:</b> <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank"><span style="color:purple">openid-specs-ab@lists.openid.net</span></a><br>

<b>Subject:</b> RE: [Openid-specs-ab] Spec call notes 17-Oct-13</span><o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">I completely agree with Nat. There have been many months for people to comment on, interop with, and add features to the set. I think that changing

 something this fundamental this late in the game with so little testing behind it is ludicrous. I don't understand how this is coming up all of a sudden. From my perspective, it sounds like one contingent is trying to sneak something in just under the wire

 and hoping nobody will notice. <br>

<br>

This can easily be defined as an extension and it would do much more harm than good trying to cram it in now.<br>

<br>

As to Tony's contention: plenty of us are deploying and exactly what you keep calling impossible. There are numerous existence proofs in contrast to your position.<br>

<br>

 -- Justin</span><o:p></o:p></p>

<div>

<div class="MsoNormal" align="center" style="text-align:center">

<hr size="3" width="100%" align="center">

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> <a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank"><span style="color:purple">openid-specs-ab-bounces@lists.openid.net</span></a> [<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank"><span style="color:purple">openid-specs-ab-bounces@lists.openid.net</span></a>]

 on behalf of Anthony Nadalin [<a href="mailto:tonynad@microsoft.com" target="_blank"><span style="color:purple">tonynad@microsoft.com</span></a>]<br>

<b>Sent:</b> Thursday, October 17, 2013 2:04 PM<br>

<b>To:</b> Nat Sakimura; Mike Jones<br>

<b>Cc:</b> <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank"><span style="color:purple">openid-specs-ab@lists.openid.net</span></a><br>

<b>Subject:</b> Re: [Openid-specs-ab] Spec call notes 17-Oct-13</span><o:p></o:p></p>

</div>

<div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">If you can’t deploy this stuff it’s no good, it would then be a board issue to approve or disapprove and I know where I would vote</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank"><span style="color:purple">openid-specs-ab-bounces@lists.openid.net</span></a> [<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank"><span style="color:purple">mailto:openid-specs-ab-bounces@lists.openid.net</span></a>] <b>On

 Behalf Of </b>Nat Sakimura<br>

<b>Sent:</b> Thursday, October 17, 2013 9:55 AM<br>

<b>To:</b> Mike Jones<br>

<b>Cc:</b> <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank"><span style="color:purple">openid-specs-ab@lists.openid.net</span></a><br>

<b>Subject:</b> Re: [Openid-specs-ab] Spec call notes 17-Oct-13</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal">I completely disagree. We have feature frozen months ago and we should not allow any feature bloat now. We have decided it and we must adhere to it. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal">It is a process and trust issue. Also, the timing is critical for several things that you probably have already heard. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal">If it could not be done with an extension, I would be more sympathetic. However, in this case, you can do it as an extension, and that is still conformant once that extension gets voted. The core does not prohibit it. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">And do not mix up Google's postMessage and Form encoding + POSTing. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">The fragment encoding was supposed to be used with postMessage and that's what Google is doing. <o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Even if you had the new feature text on Monday, there is not enough review period. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Also, note that the Monday meeting has no authority to decide on such things. It has to be done in the list, and we have to give ample time to respond. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">We MUST NOT push any new feature through so quickly. <o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Sorry to be a process police here, but that's what I have to do as a chair. <o:p></o:p></p>

</div>

</div>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"> <o:p></o:p></p>

<div>

<div>

<div>

<p class="MsoNormal">2013/10/18 Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank"><span style="color:purple">Michael.Jones@microsoft.com</span></a>><o:p></o:p></p>

</div>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I actually think that getting the features right, such that developers will actually use what’s in the spec, rather than do something non-conformant, is more

 important than a few days of schedule.</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">It’s pretty telling that Google, Ping, and Microsoft all are using something other than fragment encoding in some cases for Implicit/Hybrid flows.  Far better

 to enable interop on these non-fragment return types than have everyone do something outside the spec.</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">As we said on the call, I’ll write up a concrete proposal so people can review it in advance of Monday.</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Yes, we’re late in the process, but far better to make a late addition than to ship something that we know has defects that will cause people to do things not

 in the spec.</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">                                                            -- Mike</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Nat Sakimura [mailto:<a href="mailto:sakimura@gmail.com" target="_blank"><span style="color:purple">sakimura@gmail.com</span></a>] <br>

<b>Sent:</b> Thursday, October 17, 2013 9:19 AM<br>

<b>To:</b> Mike Jones<br>

<b>Cc:</b> <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank"><span style="color:purple">openid-specs-ab@lists.openid.net</span></a><br>

<b>Subject:</b> Re: [Openid-specs-ab] Spec call notes 17-Oct-13</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal">Please add to the note that Nat has pointed out that this is not the time to add a new feature that it can and should be dealt with extension. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Also, John has pointed out that expanding the feature will cause interoperability problems. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">As part of the AOL's OpenID 2.0 provider explanation, it was pointed out that the UI would show flash and button, and that was the reason we have dropped it from the current Connect spec. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">In fact, not only AOL but many others did it in OpenID 2.0 as that was the only option, and it was also something that many of us wanted to escape from. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">The reason sited in support of form POSTing were as follows: <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">1) It is done by SAML and WS. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">2) Fragment would not be able to hold large payload. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">3) If it is not there, implementers will do stupid things like including access token in the query parameter. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">4) If the browser is not Javascript enabled, it is the last resort. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">In the above, 1) does not make sense. The web technology has advanced so much since they were designed. We have considered the option previously and dropped. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">As to 2) is concerned, the statement is false. Fragment can hold pretty big payload. It was tested during the self-issued testing, and we found out that the limit is actually pretty large. We were sending photos as a claim in id_token as

 a result of it. (Note: I need to double check - since we were concerned mostly on mobile platform, we may not have tested IE.) <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">The reason 3) is not a good one either. We should just write an implementers NOTE that they should never do this. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">As a result, only the credible reason is 4). However, this means that a lot of other things at the destination site will break, too. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">I understand that there are people who want to do it. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Even some of NRI's internal developers wants to do it. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">However, that is not a good enough reason to get it into the core at this point in time. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">In addition, there will be bunch of moving parts that we have to fix if we were to do it. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">We should not do it in three days. We should take more time to consider various implications. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">We are finalizing the core spec now. The cut off date is end of this week. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">It should be done as an extension. I oppose to do it in the core. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Our priority to get the Core out of the door, now. <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"> <o:p></o:p></p>

<div>

<div>

<div>

<p class="MsoNormal">2013/10/17 Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank"><span style="color:purple">Michael.Jones@microsoft.com</span></a>><o:p></o:p></p>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal">Spec call notes 17-Oct-13<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Mike Jones<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Brian Campbell<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">George Fletcher<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">John Bradley<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Nat Sakimura<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Edmund Jay<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Agenda:<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">               Open Issues<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">               Multiple response type requests returning values in ways other than fragments<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">               Document Restructuring and Review<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Open Issues:<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">               #873: session 4.1. Can we use opbs with http (not httponly)<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">                              We developed proposed text for this<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">               #879 & #880: Hosting <a href="http://self-issued.me/" target="_blank"><span style="color:purple">self-issued.me</span></a><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">                              John will get the cheapest Amazon VM and give Edmund access to it<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Multiple response type requests returning values in ways other than fragments<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">               Microsoft has asked for a POST binding, like WS-Federation and SAML have<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">               Ping has an extra response_type component x_post<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">                              This causes the responses to POST to be returned as form-encoded body content<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">               Google has a way of registering clients to use a postMessage binding<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">                              They do that by registering a JavaScript origin, rather than response_type<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">               AOL's OpenID 2.0 provider often uses the POST response because of large AX responses<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">               John had proposed a registration parameter for this:<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">                              redirect_type   fragment | POST | postMessage<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">               This would be discoverable as<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">                              redirect_types_supported<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">               Another reason for this is to not hit fragment size limits<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">               Mike will file a bug on this to make a concrete proposal<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">               We will discuss this at the Monday meeting<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Document Restructuring and Review:<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">               Mike posted a Word version of the Core spec with tracked changes turned on<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">                              People are requested to mark it up with specific proposed changes this week<o:p></o:p></p>

</div>

</div>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank"><span style="color:purple">Openid-specs-ab@lists.openid.net</span></a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank"><span style="color:purple">http://lists.openid.net/mailman/listinfo/openid-specs-ab</span></a><o:p></o:p></p>

</div>

<div>

<div>

<p class="MsoNormal"><br>

<br clear="all">

<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">-- <br>

Nat Sakimura (=nat)<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Chairman, OpenID Foundation<br>

<a href="http://nat.sakimura.org/" target="_blank"><span style="color:purple">http://nat.sakimura.org/</span></a><br>

@_nat_en<o:p></o:p></p>

</div>

</div>

</div>

</div>

</blockquote>

</div>

<div>

<div>

<p class="MsoNormal"><br>

<br clear="all">

<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">-- <br>

Nat Sakimura (=nat)<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Chairman, OpenID Foundation<br>

<a href="http://nat.sakimura.org/" target="_blank"><span style="color:purple">http://nat.sakimura.org/</span></a><br>

@_nat_en<o:p></o:p></p>

</div>

</div>

</div>

</div>

</div>

</div>

</blockquote>

</div>

</div>

</div>

</blockquote>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

</div>

</div>

</blockquote>

</div>

<div>

<div>

<p class="MsoNormal"><br>

<br clear="all">

<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">--<span class="apple-converted-space"> </span><br>

Nat Sakimura (=nat)<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Chairman, OpenID Foundation<br>

<a href="http://nat.sakimura.org/" target="_blank"><span style="color:purple">http://nat.sakimura.org/</span></a><br>

@_nat_en<o:p></o:p></p>

</div>

</div>

</div>

<pre style="text-align:center"><hr size="2" width="100%" align="center"></pre>

<pre><br>Openid-specs-ab mailing list<br><a href="mailto:Openid-specs-ab@lists.openid.net"><span style="color:purple">Openid-specs-ab@lists.openid.net</span></a><br><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab"><span style="color:purple">http://lists.openid.net/mailman/listinfo/openid-specs-ab</span></a><o:p></o:p></pre>

</blockquote>

</div>

</blockquote>

</div>

</div>

</div>

</blockquote>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</body>

</html>