<div dir="ltr"><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px"><div class="gmail_msg"><br></div><div class="gmail_msg">Hi</div><div class="gmail_msg"><br></div><div class="gmail_msg">I have a few questions/comments about the front-channel logout spec. Sorry to pose it this late. I was too busy on getting fapi out, which has rather short deadlines to be meaningful. These issues could be dealt with during the next iteration. If you want, I can file them in the issues list. </div><br class="inbox-inbox-Apple-interchange-newline"></div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px"><br></div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px"># NS1 Introduction improvement</div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px">As a rationale for this specification, the introduction states "other protocols..." but that is not good enough. <br class="gmail_msg"></div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px">It should state under what scenario, using this specification is a better solution. </div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px"><br class="gmail_msg"></div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px"><div class="gmail_msg"># NS2 Too many passive voices</div><div class="gmail_msg">It is always better to avoid passive voices. Trying to write sentences with Subject-verb-object would make it clearer, especially when you think about translating it into other languages. <br class="gmail_msg"></div><br class="inbox-inbox-m_5990144640088125698inbox-inbox-Apple-interchange-newline gmail_msg"></div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px"># NS3 The creator of the `sid` unclear<br class="gmail_msg"></div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px">From a quick read (sorry, I did not have time to read it till now), I was not sure who creates the `sid`. <br class="gmail_msg"></div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px">It should probably be explicitly written. </div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px"><br class="gmail_msg"></div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px"># NS4 State who creates the iframe in what page under what scenario clearly</div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px">We can guess, but it should be explicitly stated as a speciation. </div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px"><br class="gmail_msg"></div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px"># NS5 Iframe examples, please<br class="gmail_msg"></div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px">Related to NS4, please add an example</div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px"><br class="gmail_msg"></div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px"># NS6 Security consideration too terse</div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px">Since `sid` is optional, it should state the risk of not using `sid`. Why did we make `sid` optional? </div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px">Can RP require `sid` to be there to be valid? If so, how? </div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px">If it is not, what happens if a rogue site starts calling the logout URIs? </div><div class="gmail_msg" style="color:rgb(33,33,33);font-size:13px">Is it not better to send a signed secevent token instead? </div></div><div dir="ltr">-- <br></div><div data-smartmail="gmail_signature"><p dir="ltr">Nat Sakimura</p>
<p dir="ltr">Chairman of the Board, OpenID Foundation</p>
</div>