<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta content="text/html; charset=Windows-1252">

</head>

<body bgcolor="#FFFFFF">

<div id="compose-container" itemscope="" itemtype="https://schema.org/EmailMessage" style="direction:ltr">

<span itemprop="creator" itemscope="" itemtype="https://schema.org/Organization"><span itemprop="name"></span></span>

<div>

<div>

<div style="direction:ltr">I guess making the requirements in the numbered list style like FAPI makes difference. It makes it much easier for the developers to check the compliance to the spec.

</div>

</div>

<div><br>

</div>

<div class="acompli_signature">

<div style="direction:ltr">Nat Sakimura</div>

<div style="direction:ltr">このメールには、本来の宛先の方のみに限定された機密情報が含まれている場合がございます。お心あたりのない場合は、送信者にご連絡のうえ、このメールを削除してくださいますようお願い申し上げます。</div>

<div><br>

</div>

<div style="direction:ltr">PLEASE READ：This e-mail is confidential and intended for the named recipient only. If you are not an intended recipient, please notify the sender and delete this e-mail.</div>

</div>

</div>

</div>

<hr tabindex="-1" style="display:inline-block; width:98%">

<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" color="#000000" style="font-size:11pt"><b>From:</b> Openid-specs-ab <openid-specs-ab-bounces@lists.openid.net> on behalf of George Fletcher via Openid-specs-ab <openid-specs-ab@lists.openid.net><br>

<b>Sent:</b> Friday, June 22, 2018 1:44:11 PM<br>

<b>To:</b> Mike Jones; openid-specs-ab@lists.openid.net<br>

<b>Subject:</b> Re: [Openid-specs-ab] Spec Call Notes 21-Jun-18</font>

<div> </div>

</div>

<div>I reviewed the docs and there is discussion of this issue already present that I missed.<br>

<br>

Section 5 (RP-Initiated Logout) from the Session Management spec RECOMMENDS use of the id_token_hint and ends the section with a statement that the OP should ask the user if they want to logout of the OP or not.<br>

<br>

Section 8 (Security Considerations) from the Session Management spec calls out that "Logout requests without a valid 'id_token_hint' value are a potential means of denial of service; therefore, OPs may want to require explicit user confirmation before acting

 upon them."<br>

<br>

Section 1 (Introduction) from the Front-Channel logout spec identifies that the spec reuses the RP-Initiated Logout functionality from the Session Management spec.<br>

<br>

All the basis are covered, though it's easy to miss. I don't know if what we have is sufficient or we should add more text.<br>

<br>

The only normative change we could make that might make things easier for RPs, now that session id is defined, would be to update Section 5 of the Session Management spec to allow for specification of the session-id instead of the id_token.<br>

<br>

Thoughts?<br>

<br>

Thanks,<br>

George<br>

<br>

<div class="moz-cite-prefix">On 6/21/18 10:48 AM, Mike Jones via Openid-specs-ab wrote:<br>

</div>

<blockquote type="cite">

<p class="MsoNormal">Unauthenticated Logout Requests</p>

<p class="MsoNormal">ï¿½ï¿½ï¿½ï¿½ï¿½ï¿½ï¿½ï¿½ï¿½ï¿½ï¿½ï¿½ï¿½ George will file an issue proposing Security Considerations language about denial of service attacks using front-channel logout</p>

<p class="MsoNormal"></p>

</blockquote>

<br>

</div>

</body>

</html>