<div dir="ltr">I have reviewed this version of the document and I have the following comments:<div><br></div><div>5.2.1. Requirements for all endpoints<br>NOTE 1: Even if an endpoint uses only organization validated (OV) or extended validation (EV) TLS certificates, an attacker using rogue domain-validated certificates is able to impersonate the endpoint and conduct man-in-the-middle attacks. CAA records [RFC8659] help to mitigate this risk.<br><br>[Rifaat] The above statement is suggesting that implementation should consider implementing CAA records to avoid this attack. Why not explicitly call that out, instead of mentioning this in a note?<br><br><br>5.2.2.2. MTLS ecosystems<br><br>MTLS ecosystems may implement MTLS to govern access to the ecosystem independently from MTLS being used for client authentication or token binding.<br><br>[Rifaat] I am not sure what this means. mTLS, as compared to TLS, is essentially for client authentication. So, what is meant by “govern access” beyond that?<br>[Rifaat] Is token binding an option?<br><br><br>MTLS ecosystems should provide the trust list of the certificate authorities to ease integration, security and interoperability concenrs.<br><br>[Rifaat] Typo: concenrs -> concerns<br>[Rifaat] Is not that the default case? What is unique about FAPI 2.0?<br><br><br>5.3.2.1. General requirements<br><br>10. shall not use refresh token rotation unless, in the case a response with a new refresh token is not received and stored by the client, retrying the request (with the previous refresh token) will succeed;<br><br>[Rifaat] I am having a hard time digesting this paragraph. I am not sure what it is trying to say.<br><br><br>14. to accommodate for clock offsets, shall accept JWTs with an iat or nbf time up to 10 seconds in the future, however should reject JWTs with an iat or nbf of 60 seconds or greater in the future.<br><br>[Rifaat] What should the AS do when iat/nbf is greater than 10 but less than 60?<br><br><br></div><div>A pre-condition for this attack is that the attacker has control of an authorization server that is trusted by the client to issue access tokens for the target resource server. An attacker may obtain control of an authorization server by:<br>1.  compromising the security of a different authorization server that the client trusts;<br>2.       acting as an authorization server and establishing a trust relationship with a client using social engineering; or<br>3.  compromising the client.<br><br>[Rifaat] How would “compromising the client” allow the attacker to control the authorization server?<br><br><br></div><div>Regards,</div><div> Rifaat</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Apr 30, 2024 at 4:41 AM Dave Tonge via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net">openid-specs-fapi@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Dear FAPI Working Group</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">In addition to the FAPI 2 Security Profile, we also want to take the FAPI 2 Attacker Model to final.</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">This is a working group last call to review the document and raise any issues before we start the public review process for moving the specification to final.</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">The document is available to review here: <a href="https://openid.bitbucket.io/fapi/fapi-2_0-attacker-model.html" target="_blank">https://openid.bitbucket.io/fapi/fapi-2_0-attacker-model.html</a></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Please raise any issues before 06 May 2024.</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Thank you</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Dave Tonge</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">FAPI WG Co-Chair</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 24 Apr 2024 at 19:01, Dave Tonge <<a href="mailto:dave.tonge@momentumft.co.uk" target="_blank">dave.tonge@momentumft.co.uk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div style="font-family:"trebuchet ms",sans-serif">Dear FAPI Working Group</div><div style="font-family:"trebuchet ms",sans-serif"><br></div><div style="font-family:"trebuchet ms",sans-serif">We've resolved all remaining issues for the FAPI2 security profile - thank you for all your help and input over the last few months (and years!)</div><div style="font-family:"trebuchet ms",sans-serif"><br></div><div style="font-family:"trebuchet ms",sans-serif">This is a working group last call to review the document and raise any issues before we start the public review process for moving the specification to final.</div><div style="font-family:"trebuchet ms",sans-serif"><br></div><div style="font-family:"trebuchet ms",sans-serif">The current working document is available here: <a href="https://openid.bitbucket.io/fapi/fapi-2_0-security-profile.html" target="_blank">https://openid.bitbucket.io/fapi/fapi-2_0-security-profile.html</a></div><div style="font-family:"trebuchet ms",sans-serif"><br></div><div style="font-family:"trebuchet ms",sans-serif">Please raise any issues before 06 May, 2024.</div><div style="font-family:"trebuchet ms",sans-serif"><br></div><div style="font-family:"trebuchet ms",sans-serif">Thank you</div><div style="font-family:"trebuchet ms",sans-serif"><br></div><div style="font-family:"trebuchet ms",sans-serif">Dave Tonge</div><div style="font-family:"trebuchet ms",sans-serif">FAPI WG Co-Chair</div><div style="font-family:"trebuchet ms",sans-serif"><br></div><div style="font-family:"trebuchet ms",sans-serif"><br></div><div style="font-family:"trebuchet ms",sans-serif"><br></div><div style="font-family:"trebuchet ms",sans-serif"><br></div></div>
</blockquote></div></div>

<br>
<p dir="ltr"><font size="1">Moneyhub Enterprise is a trading style of Moneyhub Financial Technology Limited which is authorised and regulated by the Financial Conduct Authority ("FCA"). Moneyhub Financial Technology is entered on the Financial Services Register (FRN 809360) at <a href="https://register.fca.org.uk/" target="_blank">https://register.fca.org.uk/</a>. Moneyhub Financial Technology is registered in England & Wales, company registration number 06909772. Registered address: C/O Roxburgh Milkins Limited Merchants House North, Wapping Road, Bristol, United Kingdom, BS1 4RW, United Kingdom. Moneyhub Financial Technology Limited 2024 © Moneyhub Enterprise.</font><br></p><p dir="ltr" style="font-weight:bold"><span style="color:rgb(128,128,128);font-family:Arial;font-weight:400"><font size="1">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions of Moneyhub Financial Technology Limited or of any other group company.</font></span></p><br>_______________________________________________<br>
Openid-specs-fapi mailing list<br>
<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid.net</a><br>
<a href="https://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">https://lists.openid.net/mailman/listinfo/openid-specs-fapi</a><br>
</blockquote></div>