<div dir="ltr">Hi all,<br><div>FYI, I have sent the new drafts to the OIDF secretary for starting the review period on three specs:</div><div><ul><li><a href="https://openid.net/specs/openid-sharedsignals-framework-1_0-03.html">Shared Signals Framework Draft 03</a></li><li><a href="https://openid.net/specs/openid-caep-1_0-04.html">CAEP Draft 04</a></li><li><a href="https://openid.net/specs/openid-caep-interoperability-profile-1_0-01.html">CAEP Interoperability Profile Draft 01</a></li></ul><div>We will be changing the call frequency back to biweekly, and the next call will be on July 2nd. I will ask Mike Leczcz to send out new invites to reflect this schedule.</div><div><br></div><div>The notes from today's call are below. They are also stored <a href="https://hackmd.io/@oidf-wg-sse/wg-meeting-20240618">here</a>.</div></div><div><br></div><div>Atul</div><div><br></div><div><span class="gmail_signature_prefix">--</span><br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div dir="ltr" align="left" style="margin-left:0pt"><table style="border:none;border-collapse:collapse"><colgroup><col width="165"><col width="160"></colgroup><tbody><tr style="height:74.5pt"><td style="vertical-align:middle;padding:5pt;overflow:hidden"><p dir="ltr" style="line-height:1.44;margin-top:0pt;margin-bottom:0pt"><span style="font-size:11pt;font-family:Arial,sans-serif;color:rgb(0,0,0);background-color:transparent;vertical-align:baseline"><span style="border:none;display:inline-block;overflow:hidden;width:137px;height:68px"><img src="https://lh7-us.googleusercontent.com/OubMXEaSzW6cz-Rt9RyUGsuX2z_G2pbaWOSLNAI_1YuZEk9lVaehxLoZgJt6AbxshlaXTZ4HHvQjpxPRVTWVxlwCl-fPKhGsbSTcgVVvejMX1rS_DaeeX4yOVQyvp2y3cFkC6XMBihqiTrDY3qBYwq8" width="137" height="68" style="margin-left: 0px; margin-top: 0px;"></span></span></p></td><td style="vertical-align:top;padding:5pt;overflow:hidden"><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:11pt;font-family:Poppins,sans-serif;color:rgb(0,0,0);background-color:transparent;vertical-align:baseline"> Atul Tulshibagwale</span></p><p dir="ltr" style="line-height:1.5;margin-top:0pt;margin-bottom:0pt"><span style="font-size:11pt;font-family:Poppins,sans-serif;color:rgb(102,102,102);background-color:transparent;vertical-align:baseline"> CTO</span></p><p dir="ltr" style="line-height:1.44;margin-top:0pt;margin-bottom:0pt"><span style="font-size:11pt;font-family:Arial,sans-serif;color:rgb(136,136,136);background-color:transparent;vertical-align:baseline"> </span><a href="https://www.linkedin.com/in/tulshi/" target="_blank"><span style="font-size:11pt;font-family:Arial,sans-serif;background-color:transparent;vertical-align:baseline"><span style="border:none;display:inline-block;overflow:hidden;width:24px;height:24px"><img src="https://lh7-us.googleusercontent.com/nf4RO594hvFNyujzHdKSn1RCJcOIC1-Mk2-_S2GLH4LUi6Prxj4bL0tyguJ-6XH50k_fHPq6nynNBdkJwAzgGdYlImXDDKv07yQuj5PcskVaBqf9vL1Z2esDwZsb5Z9J4tvDcPiiZdQSuyzywRbH3Fs" width="24" height="24" style="margin-left: 0px; margin-top: 0px;"></span></span></a><a href="mailto:atul@sgnl.ai" target="_blank"><span style="font-size:11pt;font-family:Arial,sans-serif;background-color:transparent;vertical-align:baseline"><span style="border:none;display:inline-block;overflow:hidden;width:24px;height:24px"><img src="https://lh7-us.googleusercontent.com/jy9xWqMUZyDKsa5W_-BxVILzsnbgKHSkJVzdCeCWVVSvhJbGal-I_Ja-qTTnA1SpYE65RrEcWMMLNPfbrp9HXjBOKdeXNIVuhOBg-vZe-Ed8e0rCV8BMjih-COWlyljD_Hfqg2SzCuqKASIsPk1O6_w" width="24" height="24" style="margin-left: 0px; margin-top: 0px;"></span></span></a><a href="https://x.com/zirotrust" target="_blank"><span style="font-size:11pt;font-family:Arial,sans-serif;background-color:transparent;vertical-align:baseline"><span style="border:none;display:inline-block;overflow:hidden;width:24px;height:24px"><img src="https://lh7-us.googleusercontent.com/N98NNhPOiQxQunuxKbv5L50QKM2TRayIDZDsOkFpZBpnxX7DATMDAj6a1zNXbjWfqluWTHt6BLNE9WbRSEYForDpaWWxtEd63NkpNqVY_9xAKyidyaSrYvOdHmKaijtXcPetATtR_eUKqs21wuYLq5w" width="24" height="24" style="margin-left: 0px; margin-top: 0px;"></span></span></a></p></td></tr></tbody></table></div></div></div></div><div><br></div><div>---</div><div><br></div><div>WG Meeting: 2024-06-18<br>Agenda<br>Risk score in Session Presented event<br>Call schedule<br>Blog draft feedback<br>Attendees<br>Sean O'Dell (Disney)<br>Shayne Miel (Cisco)<br>Atul Tulshibagwale (SGNL)<br>Nick Wooler (Cisco Webex)<br>Notes<br>Risk Score<br>(Sean) A risk indicator could be added to more events<br>It's a behavioral indicator, which could apply to a lot of things<br>This can map to something Shayne talked about, which is a "risk score changed" event<br>You could give the reason within the "Session Presented" event, but not the score itself<br>(Atul) I'm a bit concerned about a "confidence score" in general transmitter events<br>(Sean) It's not a confidence score<br>(Shayne) What is the value of putting it in the session presented event<br>(Atul) Risk score is always associated with the session presence<br>(Shayne) That's not true - a risk score could change due to other activity, e.g. 3 other people got hacked, so this could also be hacked<br>(Shayne) You could send two events: "session presented" and "risk score changed", and tie them with the same txn value<br>(Sean) Thinking it through from a race condition: If the ITDR system is doing its job, then you should not see a "session presented" event, you should just be OK with a "risk score changed" event<br>(Atul) There are two independent vectors here. Unusual activity within an app, and unusual activity across different apps, where each individual app doesn't see anything unusual<br>(Sean) Now I think the risk score is needed in both places - "session presented" and "risk score changed"<br>(Atul) We could revisit whether to put one event in one SET, and add both those events in one SET<br>(Nick) Are there standard risk indicator levels like SAML?<br>(Atul) I had proposed 4 levels in the PR<br>(Sean) The "session presented" event has an interesting consequence: If I have a Fidelity account linked to the Schwab account, if the Fidelity service calls the Schwab service on behalf of a user, without user presence.<br>(Atul) That could be a separate event, because that represents a token compromise rather than the user doing something unusual<br>(Shayne)<br>Biweekly schedule?<br>(Atul) Should we meet biweekly going forward?<br>(Shayne and Sean) agree<br>Blog draft feedback<br>(Shayne) Should we update the draft? It's an important part of the security review<br>(Atul) OK by me<br>(Shayne) What is the proposed new language?<br>(Sean) The last line in the 3rd paragraph of Section 7 does say that right now<br>(Atul) 9110 covers bearer authentication in Section 11. The last sentence begins with "This authorization must …", which references that, therefore we are OK.<br>Action Items<br>Atul to fix the blog post action and send to Elizabeth<br>Atul to ask Mike to change the cadence of the meeting to biweekly, so the next meeting will be on July 2nd.<br></div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><span><br></span></div></div></div>