<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Helvetica;

        panose-1:2 11 6 4 2 2 2 2 2 4;}

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.apple-converted-space

        {mso-style-name:apple-converted-space;}

span.EmailStyle18

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:612.0pt 792.0pt;

        margin:72.0pt 72.0pt 72.0pt 72.0pt;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-AU" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal">> - Why is GET instead of POST for the checking call?<o:p></o:p></p>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#1F4E79;mso-style-textfill-fill-color:#1F4E79;mso-style-textfill-fill-alpha:100.0%"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#1F4E79;mso-style-textfill-fill-color:#1F4E79;mso-style-textfill-fill-alpha:100.0%">Theoretically GET was a better match for the semantics: retrieving the status & subject id for a port.

 The request should be idempotent. It isn’t particularly making state changes to the server (Old OP). However, I agree that POST is better in practice. Caching isn’t important here; the encrypted port token is like a credential; and it isn’t that small (eg

 ~650 bytes).<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#1F4E79;mso-style-textfill-fill-color:#1F4E79;mso-style-textfill-fill-alpha:100.0%"><o:p> </o:p></span></p>

<p class="MsoNormal">> - … why the Old OP should check the sector id or redirect uri host of the RP<o:p></o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">It is a privacy check. It prevents an RP from sharing an enc_port_token with another RP, which would enable both RPs to correlate the

 pairwise subs they get from the Old OP for the user.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">It is a SHOULD (not a MUST) because of corner cases with OP’s that don’t use pairwise subject ids. For instance an Old OP issuing the

 same “sub” to all RPs might not know an RP’s sector_id (since it doesn’t need it to calculate “sub”), but there wasn’t any privacy benefit from the check in this case anyway.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">Some extra text to explain this should be added.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">--<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">James Manger

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">

<p class="MsoNormal"><b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Torsten Lodderstedt [mailto:torsten@lodderstedt.net]

<br>

<b>Sent:</b> Monday, 20 March 2017 5:26 AM<br>

<b>To:</b> Manger, James <James.H.Manger@team.telstra.com><br>

<b>Cc:</b> openid-specs-mobile-profile@lists.openid.net<br>

<b>Subject:</b> Re: [Openid-specs-mobile-profile] Account porting example updates<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">Hi James,<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I think the spec is in really good shape. Thank you for bringing it forward!<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I’ve got two questions:<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">- Why is GET instead of POST for the checking call? GET requires the RP to send the encrypted port token, a credential, as URL query parameter. I think it would be better to send it as body parameter in a POST request.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">- I haven’t found an explanation of why the Old OP should check the sector id or redirect uri host of the RP. As far as I remember this is a further mean to ensure the same RP is calling on both ends, the new and the old OP. Would it make

 sense to add this explanation?<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">best regards,<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Torsten.<o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal">Am 14.03.2017 um 02:14 schrieb Manger, James <<a href="mailto:James.H.Manger@team.telstra.com">James.H.Manger@team.telstra.com</a>>:<o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">I have updated the examples of an encrypted port_token in the account porting draft. The previous example values had some bugs:<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">* They couldn’t be fully checked because only a partially-elided version of the Old OP’s public key was present. Now the complete Old OP’s public & private key is in an appendix.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">* There were some commas missing from some JSON.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">* The AES-GCM calculation (ciphertext with tag) wasn’t correct.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">We are 8 days into the 45-day<span class="apple-converted-space"> </span><a href="http://openid.net/2017/03/06/public-review-period-for-four-modrna-specifications-started/"><span style="color:#954F72">Implementer’s

 Draft public review period</span></a><span class="apple-converted-space"> </span>that links to draft 07, while the corrected examples are in the subsequent<span class="apple-converted-space"> </span><a href="https://id.cto.telstra.com/public/openid-connect-account-porting-1_0.html"><span style="color:#954F72">Editor’s

 Draft</span></a><span class="apple-converted-space"> </span>(the current version in the Bitbucket repo). I’m not sure what to do about that. Perhaps the corrected examples are a minor change that can be reflected with a comment and updated links on the blog

 entry about the review/vote (and WG page)? Or perhaps a 2<sup>nd</sup><span class="apple-converted-space"> </span>Implementer’s Draft is reviewed/voted-on later with these changes and any others that the current review flushes out?<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">--<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">James Manger<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Helvetica",sans-serif">_______________________________________________<br>

Openid-specs-mobile-profile mailing list<br>

</span><a href="mailto:Openid-specs-mobile-profile@lists.openid.net"><span style="font-size:10.5pt;font-family:"Helvetica",sans-serif;color:#954F72">Openid-specs-mobile-profile@lists.openid.net</span></a><span style="font-size:10.5pt;font-family:"Helvetica",sans-serif"><br>

</span><a href="http://lists.openid.net/mailman/listinfo/openid-specs-mobile-profile"><span style="font-size:10.5pt;font-family:"Helvetica",sans-serif;color:#954F72">http://lists.openid.net/mailman/listinfo/openid-specs-mobile-profile</span></a><o:p></o:p></p>

</div>

</blockquote>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</body>

</html>