<p dir="ltr">I think there are two discussions.  </p>
<p dir="ltr">One is what the OAuth WG should do and that should be on the OAuth list.</p>
<p dir="ltr">There is a separate discussion about what Connect should recommend untill OAuth addresses the issue.  </p>
<p dir="ltr">I think the latter was how this thread started.  </p>
<p dir="ltr">We not be should not wait for OAuth to recommend something before we explain the existing mitigations in Connect.</p>
<p dir="ltr">The touchier topic is should we add anything new before OAuth decides.  <br>
 <br>
To Brian's point about the AS not identifying itself in the response,  that was the recommended change from the Darmstadt meeting.   I am however hesitant to take that up as a Connect only fix even though it would work just fine for Connect. <br>
 <br>
John B. </p>
<div class="gmail_quote">On Apr 23, 2016 9:04 AM, "Brian Campbell" <<a href="mailto:bcampbell@pingidentity.com">bcampbell@pingidentity.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Just noticed a typo in my previous message. I meant to write "omission" rather than "commission" there. Should have said:<br><br><span>My view is still that the attack is enabled by an </span><span><b>omission</b> in OAuth of the AS identifying itself in the authorization 
response. I think the fix should be at that layer too. Progress in the 
OAuth WG isn't exactly promising though... </span><br><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Apr 23, 2016 at 5:36 AM, Torsten Lodderstedt <span dir="ltr"><<a href="mailto:torsten@lodderstedt.net" target="_blank">torsten@lodderstedt.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>Am 15.04.2016 um 19:05 schrieb Brian Campbell:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
My view is still that the attack is enabled by an commission in OAuth of the AS identifying itself in the authorization response. I think the fix should be at that layer too. Progress in the OAuth WG isn't exactly promising though... <br>
</blockquote></span>
Why don`t we bring this discussion to the OAuth WG? It`s nearly the same group of people as on this list.<br>
</blockquote></div><br></div></div>
</blockquote></div>