<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body>
openid/sharedsignals event <br>
<br>
Issue Comment created on issue 257 <br>
Issue Title: Preventing replay attacks in PUSH streams <br>
https://github.com/openid/sharedsignals/issues/257 <br>
<br>
Comment: This is why it is necessary for the Receiver to check the `aud` claim in the SET. In your example, the SET sent to the malicious receiver would not have the correct `aud` value for the attacked receiver. So the attacked receiver should reject the SET
 when it arrives.
</body>
</html>