
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=big5">

<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>

</head>

<body dir="ltr">

<div class="elementToProof" style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Hello AB/Connect & FAPI WG Co-Chairs & Contributors,</div>

<div class="elementToProof" style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div class="elementToProof" style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

This is a friendly reminder to review and provide comments on OWASP's updated Application Security Verification Standard per Mark Haine's email below.</div>

<div class="elementToProof" style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div class="elementToProof" style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

WG co-chairs — please add this topic/reminder to your upcoming call agendas.</div>

<div class="elementToProof" style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div class="elementToProof" style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Kind regards,</div>

<div class="elementToProof" style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Mike</div>

<div class="elementToProof" style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div class="elementToProof" style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div class="elementToProof" id="Signature">

<p style="text-align: left; background-color: rgb(255, 255, 255); margin: 0in 0in 0.0001pt; font-family: Cambria; font-size: 12pt;">

<span style="font-family: Helvetica, sans-serif; font-size: 8pt; color: rgb(127, 127, 127);">MIKE LESZCZ

</span><span style="font-family: Helvetica, sans-serif; font-size: 8pt; color: rgb(255, 102, 0);">:</span><span style="font-family: Helvetica, sans-serif; font-size: 8pt; color: rgb(127, 127, 127);"> OPERATIONS DIRECTOR

</span><span style="font-family: Helvetica, sans-serif; font-size: 8pt; color: rgb(255, 102, 0);">:

</span><span style="font-family: Helvetica, sans-serif; font-size: 8pt; color: rgb(127, 127, 127);">OPENID FOUNDATION</span></p>

<p style="text-align: left; background-color: rgb(255, 255, 255); margin: 0in 0in 0.0001pt; font-family: Cambria; font-size: 12pt;">

<span style="font-family: Helvetica, sans-serif; font-size: 8pt; color: blue;"><u><a href="mailto:mike.leszcz@oidf.org" id="OWA9dec0a44-184f-84af-abde-2b6e0ccbea6b" class="OWAAutoLink" data-linkindex="2" style="color: blue; margin: 0px;">mike.leszcz@oidf.org</a></u></span><span style="font-family: Helvetica, sans-serif; font-size: 8pt; color: rgb(0, 0, 0);"> </span><span style="font-family: Helvetica, sans-serif; font-size: 8pt; color: rgb(255, 102, 0);">:

</span><span style="font-family: Helvetica, sans-serif; font-size: 8pt; color: rgb(127, 127, 127);">+1 803.239.7750</span></p>

</div>

<div id="appendonsend"></div>

<div style="font-family: Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<hr style="display: inline-block; width: 98%;">

<div id="divRplyFwdMsg" dir="ltr"><span style="font-family: Calibri, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);"><b>From:</b> Nat Sakimura <nat@sakimura.org><br>

<b>Sent:</b> Monday, March 3, 2025 7:49 AM<br>

<b>To:</b> Mark Haine <Mark.Haine@oidf.org><br>

<b>Cc:</b> openid-specs-ab@lists.openid.net <openid-specs-ab@lists.openid.net>; openid-specs-fapi-owner@lists.openid.net <openid-specs-fapi-owner@lists.openid.net>; Gail Hodges <gail@oidf.org>; Mike Leszcz <mike.leszcz@oidf.org><br>

<b>Subject:</b> Re: OWASP ASVS 5.0</span>

<div> </div>

</div>

<div style="direction: ltr;">Thanks for sharing! </div>

<div style="direction: ltr;">It is important to provide feedback IMHO.</div>

<br>

<div style="direction: ltr;">2025年3月3日(月) 21:47 Mark Haine <<a href="mailto:Mark.Haine@oidf.org" id="OWAa85af8bf-280e-14c6-c318-f8072dda0730" class="OWAAutoLink">Mark.Haine@oidf.org</a>>:</div>

<blockquote style="margin: 0px 0px 0px 0.8ex; padding-left: 1ex; border-left: 1px solid rgb(204, 204, 204);">

<p>Hi AB/Connect and FAPI people,</p>

<p> </p>

<p>There was a presentation at OSW2025 where I learned that OWASP are working on a major revision to their Application Security Verification Standard.  As part of that revision, they are adding content relating to “OAuth and OIDC” (sic).  Some of you might

 wish to review and provide comment.  If having an OIDF set of collated feedback is desirable I may be able to find time to aggregate your thoughts and comments. If that is the case please let me know. I shall do my best to review for the OIDF in any case.</p>

<p> </p>

<p><a href="https://github.com/OWASP/ASVS/tree/master" id="OWAba55270f-ab66-67fb-2b65-4a41e0732cb5" class="OWAAutoLink" data-auth="NotApplicable" style="margin-top: 0px; margin-bottom: 0px;">https://github.com/OWASP/ASVS/tree/master</a></p>

<p><img id="x_m_-4212307068283882587Picture_x0020_1" width="432" height="108" size="1552413" contenttype="image/jpeg" style="width: 4.5in; height: 1.125in; margin-top: 0px; margin-bottom: 0px;" data-outlook-trace="F:1|T:1" src="cid:ii_1955c0d4fb14ce8e91"></p>

<p> </p>

<p>Specific section on OAuth and OIDC is in:</p>

<p><a href="https://github.com/OWASP/ASVS/blob/master/5.0/en/0x51-V51-OAuth2.md" id="OWA8bdaaed7-2a9b-dfb9-8d7b-ec8a0eb659a0" class="OWAAutoLink" data-auth="NotApplicable" style="margin-top: 0px; margin-bottom: 0px;">https://github.com/OWASP/ASVS/blob/master/5.0/en/0x51-V51-OAuth2.md</a></p>

<p> </p>

<p>I have reached out to the presenter to see if there is any other guidance for reviewers. If I get anything back I’ll add it to this mail thread.</p>

<p> </p>

<p>Best Regards,</p>

<p> </p>

<p> </p>

<p><span style="font-family: Calibri, sans-serif; color: rgb(33, 33, 33);">Mark Haine</span></p>

<p><span style="font-family: Calibri, sans-serif; color: rgb(33, 33, 33);"> </span></p>

<p><span style="font-family: Calibri, sans-serif; color: rgb(0, 120, 215);"><a href="tel:+447775550344" id="OWA88249cca-a23c-d14f-2995-572af9fecd8c" class="OWAAutoLink" data-auth="NotApplicable" style="color: rgb(0, 120, 215); margin-top: 0px; margin-bottom: 0px;">+44

 (0) 777 555 0344</a></span><span style="font-family: Calibri, sans-serif; color: black;"> |

</span><span style="font-family: Calibri, sans-serif; color: rgb(5, 99, 193);"><a href="mailto:mark.haine@oidf.org" id="OWA6a6cb241-046f-e1b6-f6f7-76f3b96d5d36" class="OWAAutoLink" style="color: rgb(5, 99, 193); margin-top: 0px; margin-bottom: 0px;">mark.haine@oidf.org</a></span><span style="font-family: Calibri, sans-serif; color: black;"> | </span></p>

<p><span style="font-family: Calibri, sans-serif; font-size: 12pt; color: black;"><a href="https://www.considrd.consulting/" id="OWAb42238b7-739d-329a-cc73-08f7781443ec" class="OWAAutoLink" title="https://www.considrd.consulting/" data-auth="NotApplicable" style="color: black; margin-top: 0px; margin-bottom: 0px;"><img alt="OpenID Logo" id="x_m_-4212307068283882587Picture_x0020_2" width="151" height="48" size="6345" contenttype="image/png" style="width: 1.5833in; height: 0.5in; margin-top: 0px; margin-bottom: 0px;" data-outlook-trace="F:1|T:1" src="cid:ii_1955c0d4fb15b16b22"></a></span></p>

<p> </p>

<p> </p>

<p> </p>

<p> </p>

</blockquote>

</body>

</html>