<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">I would assume that software the collects trust chains apart from checking for loops also would have a maximum depth check included.<div class=""><br class=""><div class="">authority_hints was discussed at the NTW hackathon 2 days ago and we came to the conclusion that authority_hints would still be optional for the time being.</div><div class="">None of us felt strongly about it though.</div><div class="">What we did talk about changing was that authority_hints would be JSON arrays instead of JSON objects (Python dictionaries).</div><div class="">The reasoning behind that being that a leaf would not be able to keep the list of trust anchors, possible to reach through an intermediate, up-to-date</div><div class="">so the extra value that would bring was debatable.</div><div class=""><div class=""><div><br class=""><blockquote type="cite" class=""><div class="">On 24 Sep 2019, at 23:43, Nick Roy <<a href="mailto:nroy@internet2.edu" class="">nroy@internet2.edu</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div class="">Is it possible for a malicious party to generate an arbitrarily long trust chain that an OpenID Connect Federation implementation spends a lot of time verifying? Would making authority_hints mandatory circumvent this? See also: <a href="https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f" class="">https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f</a><br class=""><br class="">Nick-- <br class="">openid-specs-rande mailing list<br class=""><a href="mailto:openid-specs-rande@lists.openid.net" class="">openid-specs-rande@lists.openid.net</a><br class="">http://lists.openid.net/mailman/listinfo/openid-specs-rande<br class=""></div></div></blockquote></div><br class=""><div class="">
<div dir="auto" style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;">— Roland</div><div style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><br class=""></div><div style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;">The higher up you go, the more mistakes you are allowed. Right at the top, if you make enough of them, it's considered to be your style. </div><div style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;">-Fred Astaire, dancer, actor, singer, musician, and choreographer (10 May 1899-1987)</div></div>
</div>
<br class=""></div></div></div></body></html>