<html>
  <head>

    <meta http-equiv="content-type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <p>Hi all,</p>
    <p>unfortunately I can't attend the call today. <br>
    </p>
    <p>Nonetheless, I'd like to draw your attention to two topics on the
      OAuth mailing list:</p>
    <p>Firstly, a new draft for the "iss" parameter, which we're also
      using in FAPI.<br>
<a class="moz-txt-link-freetext" href="https://mailarchive.ietf.org/arch/msg/oauth/U5PHuXAl4fTiQ0df2cLFtpURAvI/">https://mailarchive.ietf.org/arch/msg/oauth/U5PHuXAl4fTiQ0df2cLFtpURAvI/</a></p>
    <p>And a security problem when *not* using iss but relying on
      per-issuer redirect URIs:<br>
<a class="moz-txt-link-freetext" href="https://mailarchive.ietf.org/arch/msg/oauth/RjbSwFRmLsk0EgAY2Ter-nw66EY/">https://mailarchive.ietf.org/arch/msg/oauth/RjbSwFRmLsk0EgAY2Ter-nw66EY/</a></p>
    <p>Note that JARM provides the same protection as the "iss"
      parameter. FAPI 1 Pt. 2 should therefore be fine. <br>
    </p>
    <p>My plan is to update the FAPI 2 drafts to remove the per-issuer
      redirect URIs and to enforce checking the "iss" in the response.</p>
    <p>-Daniel<br>
    </p>
    <pre class="moz-signature" cols="72">-- 
<a class="moz-txt-link-freetext" href="https://danielfett.de">https://danielfett.de</a></pre>
  </body>
</html>