<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Spec Call Notes 9-Apr-20<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Mike Jones<o:p></o:p></p>
<p class="MsoNormal">Tim Cappalli<o:p></o:p></p>
<p class="MsoNormal">George Fletcher<o:p></o:p></p>
<p class="MsoNormal">Brian Campbell<o:p></o:p></p>
<p class="MsoNormal">John Bradley<o:p></o:p></p>
<p class="MsoNormal">Bjorn Hjelm<o:p></o:p></p>
<p class="MsoNormal">Filip Skokan<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Migration from Mercurial to Git<o:p></o:p></p>
<p class="MsoNormal">              We discussed George's branch for openid-connect-prompt-create-1_0.xml<o:p></o:p></p>
<p class="MsoNormal">                           He created a pull request for it<o:p></o:p></p>
<p class="MsoNormal">              We migrated the EAP repository and learned a few things along the way<o:p></o:p></p>
<p class="MsoNormal">              The next step will be to migrate openid.bitbucket.org, which is rendered at openid.bitbucket.io<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">OAuth JAR<o:p></o:p></p>
<p class="MsoNormal">              Nat still needs to publish a new draft<o:p></o:p></p>
<p class="MsoNormal">              John is working with Nat on this<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">AppAuth<o:p></o:p></p>
<p class="MsoNormal">              George said that the Verizon Media person is still interested in being a maintainer for AppAuth Android<o:p></o:p></p>
<p class="MsoNormal">              He will join a future call<o:p></o:p></p>
<p class="MsoNormal">              John said that William Denniss is still maintaining AppAuth iOS<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Open Issues<o:p></o:p></p>
<p class="MsoNormal">              <a href="https://bitbucket.org/openid/connect/issues?status=new&status=open">
https://bitbucket.org/openid/connect/issues?status=new&status=open</a><o:p></o:p></p>
<p class="MsoNormal">              #1161 Key rotation should require a delay between publishing a key and starting to use it?<o:p></o:p></p>
<p class="MsoNormal">                           Brian summarized the discussion from the mailing list<o:p></o:p></p>
<p class="MsoNormal">                           He described how an attacker could cause frequent JWK Set fetches with bad "kid" values<o:p></o:p></p>
<p class="MsoNormal">                           Brian said that there doesn't appear to have been an actual problem in practice<o:p></o:p></p>
<p class="MsoNormal">                           He wrote an issue comment<o:p></o:p></p>
<p class="MsoNormal">              #1160 Registration 2 - Should data: URLs be allowed as valid logo_uri values?<o:p></o:p></p>
<p class="MsoNormal">                           The spec says "The value of this field MUST point to a valid image file."<o:p></o:p></p>
<p class="MsoNormal">                           George said that using data URLs would be convenient<o:p></o:p></p>
<p class="MsoNormal">                           But it also makes it much harder to validate the image because it has no domain<o:p></o:p></p>
<p class="MsoNormal">                           George wrote an issue comment<o:p></o:p></p>
<p class="MsoNormal">              #1149 Front-channel logout that doesn't rely on cookies<o:p></o:p></p>
<p class="MsoNormal">                           Mike proposed that we either mark this issue as "on hold" or "won't fix" since there isn't a concrete proposal<o:p></o:p></p>
<p class="MsoNormal">                           Filip summarized the current situation<o:p></o:p></p>
<p class="MsoNormal">                           George said that trying to tweak what we have today is likely problematic<o:p></o:p></p>
<p class="MsoNormal">                           We could try to describe ways that front-channel logout breaks in the new browser world<o:p></o:p></p>
<p class="MsoNormal">                           Filip said that browser Content Security Policies (CSPs) could be applicable<o:p></o:p></p>
<p class="MsoNormal">                           George thinks we could do something else in a new spec once the browser world has shaken out<o:p></o:p></p>
<p class="MsoNormal">                           George described a situation in which front-channel logout didn't work in Brave but did in Firefox and Chrome<o:p></o:p></p>
<p class="MsoNormal">                           Mike said that he's not in favor of trying to pursue whack-a-mole "solutions"<o:p></o:p></p>
<p class="MsoNormal">                           Tim and George described some of the side effects of Apple Intelligent Threat Protection (ITP)<o:p></o:p></p>
<p class="MsoNormal">                           This will be placed "on hold" the next time we triage issues unless a reason to keep it active appears by then<o:p></o:p></p>
<p class="MsoNormal">              #1125 *_hash algorithm for EdDSA ID Tokens?<o:p></o:p></p>
<p class="MsoNormal">                           We last left this at saying that we should decide where to publish this information<o:p></o:p></p>
<p class="MsoNormal">              #1108 Purpose field for claims requests and revving of policy_url<o:p></o:p></p>
<p class="MsoNormal">                           We will discuss this when we next have Nat and Torsten on the call<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Next Call<o:p></o:p></p>
<p class="MsoNormal">              The next working group call is Monday, April 13 at 4pm Pacific Time<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>