<div dir="auto">Technically a browser is just a webview. Since all user agent strings are lies, there is only a slight possibility that it will help. The only thing that a browser will bother to do is implement the entire html5 spec. So complexity is probably the best test available. Things like redirects, cookies, iframes, and the like. Specific devices do have unique features that are testable, but neither common among devices nor among different browsers on the same device.<br><br><div data-smartmail="gmail_signature">thx ..Tom (mobile)</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Mar 18, 2019, 10:05 AM George Fletcher via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
I'd like to have a discussion around security and authentication flows <br>
occurring with the system browser vs a webview. I get the potential <br>
security risk but I don't think we have any guidance on how an IdP is <br>
supposed to ensure whether requests are coming from the system browser <br>
vs a webview.<br>
<br>
Thanks,<br>
George<br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank" rel="noreferrer">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</blockquote></div>