<div dir="ltr"><p>Currently, the attacker model states: </p><ul class="gmail-ak-ul"><li><p><strong>Browsers and Endpoints:</strong> Devices and browsers used by resource owners are considered not compromised. Other endpoints not controlled by an attacker behave according to the protocol.</p></li></ul><p>This kind of deviates from the assumption for FAPI 1.0. We wanted to sign the requests and responses because the TLS breaks in the browser and can be tampered with. Is this captured elsewhere in the attacker model? </p><p>Best, </p>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Nat Sakimura<div>NAT.Consulting LLC</div></div></div></div>