<div dir="ltr"><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Dear WG<br clear="all"></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">We discussed this issue: <a href="https://bitbucket.org/openid/fapi/issues/163/more-description-of-the-security-model" style="font-family:Arial,Helvetica,sans-serif">https://bitbucket.org/openid/fapi/issues/163/more-description-of-the-security-model</a> on the call yesterday.</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">It is an important issue and I would ask all WG members to review the issue, especially the comment from Daniel and the linked spreadsheet (<a href="https://docs.google.com/spreadsheets/d/1PtG4f-Svils7wHBa7cGaZubbh-6lGifce38c_oShSss/edit?usp=sharing">https://docs.google.com/spreadsheets/d/1PtG4f-Svils7wHBa7cGaZubbh-6lGifce38c_oShSss/edit?usp=sharing</a>)</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">We plan to review the ticket and the linked document on the next call.<br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">We noted on the call the need to:</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">1. Check whether there are other attacker capabilities we want to protect against</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">2. Check whether given the documented attacker capabilities, are there other possible attacks that we can document</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">3. Document our assumptions</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Thanks</div><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div style="font-size:1em;font-weight:bold;line-height:1.4"><div style="color:rgb(97,97,97);font-family:"Open Sans";font-size:14px;font-weight:normal;line-height:21px"><div style="font-family:Arial,Helvetica,sans-serif;font-size:0.925em;line-height:1.4;color:rgb(220,41,30);font-weight:bold"><div style="font-size:14px;font-weight:normal;color:rgb(51,51,51);font-family:lato,"open sans",arial,sans-serif;line-height:normal"><div style="color:rgb(0,164,183);font-weight:bold;font-size:1em;line-height:1.4"><div style="font-weight:400;color:rgb(51,51,51);line-height:normal"><div style="color:rgb(0,164,183);font-weight:bold;font-size:1em;line-height:1.4">Dave Tonge</div><div style="font-size:0.8125em;line-height:1.4"><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">FAPI WG Co-Chair</div><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>