<div dir="ltr">Hi. <div><br></div><div>This is mainly to Daniel, but after re-reading the Attacker Model document, I started to wonder if the "resource" stated in the security goal actually includes the messages. </div><div><br></div><div>For example, if it is a payment, if the payment confirmation message was tampered with, it would cause serious security issues. This was clearly one of the goals for FAPI 1.0 and I believe that it needs to be covered. I am guessing this aspect is indirectly covered by the Authorization goal, but I was not sure. Let me know what you think. </div><div><br></div><div>Best, <br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Nat Sakimura<div>NAT.Consulting LLC</div></div></div></div></div>