<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"MS Gothic";

        panose-1:2 11 5 0 0 0 0 0 0 0;}

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:"\@MS Gothic";

        panose-1:2 11 6 9 7 2 5 8 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p.msonormal0, li.msonormal0, div.msonormal0

        {mso-style-name:msonormal;

        mso-margin-top-alt:auto;

        margin-right:0in;

        mso-margin-bottom-alt:auto;

        margin-left:0in;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;}

span.apple-converted-space

        {mso-style-name:apple-converted-space;}

span.EmailStyle19

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">I would agree to the concept of a similar effort or Oauth but it may be a daunting task to get agreement with the major players here since they each service more than the education/government

 sector. I would hate to have to do this sector by sector.<o:p></o:p></span></p>

<p class="MsoNormal"><a name="_MailEndCompose"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></a></p>

<span style="mso-bookmark:_MailEndCompose"></span>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Nick Roy [mailto:nroy@internet2.edu]

<br>

<b>Sent:</b> Wednesday, August 10, 2016 12:57 PM<br>

<b>To:</b> Anthony Nadalin <tonynad@microsoft.com><br>

<b>Cc:</b> Adam Dawes <adawes@google.com>; openid-specs-ab@lists.openid.net<br>

<b>Subject:</b> Re: [Openid-specs-ab] 1000 WAYS TO DIE IN MOBILE OAUTH<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">The research and education and e-government multilateral SAML world has just gone through a profiling exercise intended to standardize implementations that claim to support multilateral SAML use cases.  I think it was well worth the effort: <a href="https://na01.safelinks.protection.outlook.com/?url=http%3a%2f%2fkantarainitiative.github.io%2fSAMLprofiles%2ffedinterop.html&data=02%7c01%7ctonynad%40microsoft.com%7cefb2e258df44461b46a008d3c158746b%7c72f988bf86f141af91ab2d7cd011db47%7c1%7c0%7c636064558056171715&sdata=YhvyYbLEXtgi2Gi%2f2moZBoW9nPXrBAQsHSTZ6HJS61U%3d">kantarainitiative.github.io/SAMLprofiles/fedinterop.html</a>

<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Nick<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal">On Aug 10, 2016, at 1:48 PM, Anthony Nadalin <<a href="mailto:tonynad@microsoft.com">tonynad@microsoft.com</a>> wrote:<o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">In order for this to actually happen there would have to an agreed upon set of scenarios and specification set since there are a lot of “optional” and application specific

 usages</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> </span><o:p></o:p></p>

</div>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<div>

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span class="apple-converted-space"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> </span></span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Openid-specs-ab

 [<a href="mailto:openid-specs-ab-bounces@lists.openid.net">mailto:openid-specs-ab-bounces@lists.openid.net</a>]<span class="apple-converted-space"> </span><b>On Behalf Of<span class="apple-converted-space"> </span></b>Nick Roy via Openid-specs-ab<br>

<b>Sent:</b><span class="apple-converted-space"> </span>Wednesday, August 10, 2016 12:19 PM<br>

<b>To:</b><span class="apple-converted-space"> </span>Adam Dawes <<a href="mailto:adawes@google.com">adawes@google.com</a>><br>

<b>Cc:</b><span class="apple-converted-space"> </span><a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a><br>

<b>Subject:</b><span class="apple-converted-space"> </span>Re: [Openid-specs-ab] 1000 WAYS TO DIE IN MOBILE OAUTH</span><o:p></o:p></p>

</div>

</div>

</div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

<div>

<div>

<p class="MsoNormal">I'd be very happy to see a set of well-engineered, security-focused client libraries that cover the bang-for-the-buck target audiences.  I don't have any ability to help with that, but +1 the need.<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">Nick<o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

<div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal">On Aug 10, 2016, at 1:42 AM, Adam Dawes via Openid-specs-ab <<a href="mailto:Openid-specs-ab@lists.openid.net"><span style="color:purple">Openid-specs-ab@lists.openid.net</span></a>> wrote:<o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

<div>

<div>

<div>

<p class="MsoNormal">I just looked through the deck and it seems that most of these relate to OAuth2 based auth flows. At the end, one of the recommendations is to adopt OIDC. <o:p></o:p></p>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">But in our experience, developers also get OIDC wrong far too often. The thing that is the biggest problem is proper ID token verification (issuer and audience checks). I really think that the community would be very well served with excellent

 open source JWT validation libraries on all major frameworks/languages. Google would be very interested in working with others on this problem. Please let me know if you have interest/ideas about how to improve this.<o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal">The other area that concerns me but doesn't seem to be a major issue yet is clientID spoofing on platforms like iOS. Users don't pay enough attention to consent screens so spoofing another client is an interesting phishing vector.<o:p></o:p></p>

</div>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

<div>

<div>

<p class="MsoNormal">On Tue, Aug 9, 2016 at 10:00 PM, Nat Sakimura via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank"><span style="color:purple">openid-specs-ab@lists.openid.net</span></a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">

<div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">Just found a briefing in Blackhat 2016 titled<span class="apple-converted-space"> </span><a href="https://na01.safelinks.protection.outlook.com/?url=https%3a%2f%2fwww.blackhat.com%2fus-16%2fbriefings.html%231000-ways-to-die-in-mobile-oauth&data=02%7c01%7ctonynad%40microsoft.com%7cabd2d76d79a846c392ea08d3c1532499%7c72f988bf86f141af91ab2d7cd011db47%7c1%7c0%7c636064535238827541&sdata=eiH7cGqV7Y5%2fuDFFJkBsHjp3Sn3JoWKhjZWe8pcfu8A%3d" target="_blank"><span style="font-family:"Calibri",sans-serif;color:purple;mso-fareast-language:JA">“</span><span style="color:purple">1000

 WAYS TO DIE IN MOBILE OAUTH</span><span style="font-family:"Calibri",sans-serif;color:purple;mso-fareast-language:JA">”</span></a></span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"> </span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">Says:</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"> </span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">>  (1) all major identity providers, e.g., Facebook, Google and Microsoft, have re-purposed OAuth for user authentication;</span><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;mso-fareast-language:JA">”</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">> [..snip..]</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">><span class="apple-converted-space"> </span></span><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;mso-fareast-language:JA">“</span><span style="font-size:10.0pt">The result is really worrisome:

 among the 149 applications that use OAuth, 89 of them (59.7%) were incorrectly implemented and thus vulnerable.</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"> </span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">Maybe we should dig in.</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"> </span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"MS Gothic"">--</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"MS Gothic"">PLEASE READ :This e-mail is confidential and intended for the</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"MS Gothic"">named recipient only. If you are not an intended recipient,</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"MS Gothic"">please notify the sender  and delete this e-mail.</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net"><span style="color:purple">Openid-specs-ab@lists.openid.net</span></a><br>

<a href="https://na01.safelinks.protection.outlook.com/?url=http%3a%2f%2flists.openid.net%2fmailman%2flistinfo%2fopenid-specs-ab&data=02%7c01%7ctonynad%40microsoft.com%7cabd2d76d79a846c392ea08d3c1532499%7c72f988bf86f141af91ab2d7cd011db47%7c1%7c0%7c636064535238827541&sdata=wt6JVgJu5kfHRX8%2bzssfX%2f%2bJX7oqqFbbR2qBCaqVA%2bQ%3d" target="_blank"><span style="color:purple">http://lists.openid.net/mailman/listinfo/openid-specs-ab</span></a><o:p></o:p></p>

</blockquote>

</div>

<div>

<p class="MsoNormal"><br>

<br clear="all">

<o:p></o:p></p>

</div>

<div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal">--<span class="apple-converted-space"> </span><o:p></o:p></p>

</div>

<div>

<div>

<div style="margin-top:7.5pt">

<div>

<p class="MsoNormal" style="line-height:18.0pt"><span style="font-family:"Arial",sans-serif;color:#555555;border:solid #D50F25 1.5pt;padding:2.0pt">Adam Dawes |</span><span style="font-family:"Arial",sans-serif;color:#555555;border:solid #3369E8 1.5pt;padding:2.0pt"> Sr.

 Product Manager |</span><span style="font-family:"Arial",sans-serif;color:#555555;border:solid #009939 1.5pt;padding:2.0pt"> <a href="mailto:adawes@google.com" target="_blank"><span style="color:purple">adawes@google.com</span></a> |</span><span style="font-family:"Arial",sans-serif;color:#555555;border:solid #EEB211 1.5pt;padding:2.0pt"> +1

 650-214-2410</span><o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

</div>

</div>

<div>

<p class="MsoNormal">_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net"><span style="color:purple">Openid-specs-ab@lists.openid.net</span></a><br>

<a href="https://na01.safelinks.protection.outlook.com/?url=http%3a%2f%2flists.openid.net%2fmailman%2flistinfo%2fopenid-specs-ab&data=02%7c01%7ctonynad%40microsoft.com%7cefb2e258df44461b46a008d3c158746b%7c72f988bf86f141af91ab2d7cd011db47%7c1%7c0%7c636064558056171715&sdata=EQW50uxc%2fIM%2fR5AXj5v9gNM9kNjv03fH71vREGoS8RU%3d"><span style="color:purple">http://lists.openid.net/mailman/listinfo/openid-specs-ab</span></a><o:p></o:p></p>

</div>

</div>

</blockquote>

</div>

</div>

</blockquote>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</body>

</html>