<div dir="ltr">Re: Open Issues: <div><br></div><div>Actually, we went over the new issues #905 - #910 and all of them were assigned. As the result, there are no new open issues as of the end of the call. </div></div><div class="gmail_extra">
<br><br><div class="gmail_quote">2013/12/3 Mike Jones <span dir="ltr"><<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">






<div lang="EN-US" link="blue" vlink="purple">
<div>
<p class="MsoNormal">Spec call notes 2-Dec-13<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">John Bradley<u></u><u></u></p>
<p class="MsoNormal">Edmund Jay<u></u><u></u></p>
<p class="MsoNormal">Brian Campbell<u></u><u></u></p>
<p class="MsoNormal">Nat Sakimura<u></u><u></u></p>
<p class="MsoNormal">Mike Jones<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Agenda:<u></u><u></u></p>
<p class="MsoNormal">               IdP-initiated Login<u></u><u></u></p>
<p class="MsoNormal">               Open Issues<u></u><u></u></p>
<p class="MsoNormal">               E-mails to the list<u></u><u></u></p>
<p class="MsoNormal">               Hosting <a href="http://self-issued.me" target="_blank">self-issued.me</a><u></u><u></u></p>
<p class="MsoNormal">               Editing Status<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Editing Status:<u></u><u></u></p>
<p class="MsoNormal">               Mike applied Justin's Core comments, which resulted in numerous small changes<u></u><u></u></p>
<p class="MsoNormal">               There remain about 10 comments tracked in e-mails about 6 as tracked issues<u></u><u></u></p>
<p class="MsoNormal">               After applying those, Mike expects to publish new release candidates<u></u><u></u></p>
<p class="MsoNormal">               These release candidates will not include the results from the reviews of Discovery & Registration<u></u><u></u></p>
<p class="MsoNormal">               New release candidates will be published after these reviews are applied<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">IdP-initiated Login:<u></u><u></u></p>
<p class="MsoNormal">               Also see the thread "Login Initiation endpoint" and issue #904<u></u><u></u></p>
<p class="MsoNormal">               John doesn't believe there's a threat with sending id_token_hint as a query parameter<u></u><u></u></p>
<p class="MsoNormal">               We should say that the endpoint accepts both HTML form POST and GET<u></u><u></u></p>
<p class="MsoNormal">                              This prevents things leaking through redirects<u></u><u></u></p>
<p class="MsoNormal">               The id_token parameter could be added as an extension<u></u><u></u></p>
<p class="MsoNormal">               Nat asked about preventing XSRF<u></u><u></u></p>
<p class="MsoNormal">                              John replied that this can only happen if the third party can trick the OP into sending an ID Token<u></u><u></u></p>
<p class="MsoNormal">                              Because only the OP can create a valid ID token<u></u><u></u></p>
<p class="MsoNormal">                              Even if the attacker logs in with his own credentials to an IdP, he cannot trigger login to a third party<u></u><u></u></p>
<p class="MsoNormal">                                             Because of the protections provided by the Implicit or Code flows<u></u><u></u></p>
<p class="MsoNormal">                              Nat is concerned with attackers a user in with the wrong account<u></u><u></u></p>
<p class="MsoNormal">               Nat wants to do this an extension so we have time for a thorough security analysis<u></u><u></u></p>
<p class="MsoNormal">                              John is OK with this, provided that we allow HTML form post<u></u><u></u></p>
<p class="MsoNormal">                              Nat is OK with this too<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Open Issues:<u></u><u></u></p>
<p class="MsoNormal">               There are no new open issues<u></u><u></u></p>
<p class="MsoNormal">               John plans to add one to track his message "Login Initiation endpoint"<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">E-mails to the list:<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Hosting <a href="http://self-issued.me" target="_blank">self-issued.me</a><u></u><u></u></p>
<p class="MsoNormal">               John will try to work on this this week<u></u><u></u></p>
</div>
</div>

<br>_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
<br></blockquote></div><br></div>