<div dir="ltr">Hi all,<div>We are faced with an issue that the proposed spec that is currently in review does not unambiguously address the situations when:</div><div><ol><li>The subject (in an event or an "add subject" or similar call) contains an element of type "ip_addresses" with more than one IP address in it, and it needs to be matched with a set of IP addresses that is a subset of those specified.</li><li>The subject contains an element of type "alias" with more than one alias in it, and it needs to be compared with a subject that has a subset of the specified aliases.</li></ol><div>The ambiguity comes from:</div></div><div><ul><li><a href="https://www.rfc-editor.org/rfc/rfc9493.html#name-aliases-identifier-format">RFC9493</a> not specifying what constitutes an exact match of aliases</li><li><a href="https://openid.net/specs/openid-sharedsignals-framework-1_0.html#name-ip-addresses-subject-identi">Section 3.5.3</a> of the draft not specifying how to match arrays of IP addresses</li><li><a href="https://openid.net/specs/openid-sharedsignals-framework-1_0.html#name-subjects">Section 8.1.3.1</a> having a sentence that says "two (simple) subjects match if they are exactly identical"</li></ul><div>On the call, we agreed that this could be misinterpreted in practice, but it is unlikely. The <a href="https://github.com/openid/sharedsignals/issues/282">issue raised about this</a> (which started this discussion - thanks Vatsal Gupta) says "it could lead to inconsistent logic", indicating that this was a theoretical question rather than an implementation blocker.</div></div><div><br></div><div>Since clarifying this will require normative changes to the draft spec, and as a result restart the review period, we thought it would be OK to highlight this as an open issue in the call for votes at the end of the review period. We will mention that we need to fix it after the final spec is released. This will lead to incompatibility with any implementation of the final spec that differs from the changes we intend to make.</div><div><br></div><div>I'd like the working group to provide their opinions on this email thread so that we can make a decision regarding this in the next meeting.</div><div><br></div><div>The notes for today's call are below. They are also stored <a href="https://hackmd.io/@oidf-wg-sse/wg-meeting-20250722">here</a>.</div><div><br></div><div>Thanks,</div><div>Atul</div><div><br></div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><span><div dir="ltr" style="margin-left:0pt" align="left"><table style="border:none;border-collapse:collapse"><colgroup><col width="165"><col width="160"></colgroup><tbody><tr style="height:74.5pt"><td style="vertical-align:middle;padding:5pt;overflow:hidden"><p dir="ltr" style="line-height:1.44;margin-top:0pt;margin-bottom:0pt"><span style="font-size:11pt;font-family:Arial,sans-serif;color:rgb(0,0,0);background-color:transparent;vertical-align:baseline"><span style="border:none;display:inline-block;overflow:hidden;width:137px;height:68px"><img src="https://lh7-us.googleusercontent.com/OubMXEaSzW6cz-Rt9RyUGsuX2z_G2pbaWOSLNAI_1YuZEk9lVaehxLoZgJt6AbxshlaXTZ4HHvQjpxPRVTWVxlwCl-fPKhGsbSTcgVVvejMX1rS_DaeeX4yOVQyvp2y3cFkC6XMBihqiTrDY3qBYwq8" width="137" height="68" style="margin-left:0px;margin-top:0px"></span></span></p></td><td style="vertical-align:top;padding:5pt;overflow:hidden"><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt"><span style="font-size:11pt;font-family:Poppins,sans-serif;color:rgb(0,0,0);background-color:transparent;vertical-align:baseline"> Atul Tulshibagwale</span></p><p dir="ltr" style="line-height:1.5;margin-top:0pt;margin-bottom:0pt"><span style="font-size:11pt;font-family:Poppins,sans-serif;color:rgb(102,102,102);background-color:transparent;vertical-align:baseline"> CTO</span></p><p dir="ltr" style="line-height:1.44;margin-top:0pt;margin-bottom:0pt"><span style="font-size:11pt;font-family:Arial,sans-serif;color:rgb(136,136,136);background-color:transparent;vertical-align:baseline"> </span><a href="https://www.linkedin.com/in/tulshi/" target="_blank"><span style="font-size:11pt;font-family:Arial,sans-serif;color:rgb(17,85,204);background-color:transparent;vertical-align:baseline"><span style="border:none;display:inline-block;overflow:hidden;width:24px;height:24px"><img src="https://lh7-us.googleusercontent.com/nf4RO594hvFNyujzHdKSn1RCJcOIC1-Mk2-_S2GLH4LUi6Prxj4bL0tyguJ-6XH50k_fHPq6nynNBdkJwAzgGdYlImXDDKv07yQuj5PcskVaBqf9vL1Z2esDwZsb5Z9J4tvDcPiiZdQSuyzywRbH3Fs" width="24" height="24" style="margin-left:0px;margin-top:0px"></span></span></a><a href="mailto:atul@sgnl.ai" target="_blank"><span style="font-size:11pt;font-family:Arial,sans-serif;color:rgb(17,85,204);background-color:transparent;vertical-align:baseline"><span style="border:none;display:inline-block;overflow:hidden;width:24px;height:24px"><img src="https://lh7-us.googleusercontent.com/jy9xWqMUZyDKsa5W_-BxVILzsnbgKHSkJVzdCeCWVVSvhJbGal-I_Ja-qTTnA1SpYE65RrEcWMMLNPfbrp9HXjBOKdeXNIVuhOBg-vZe-Ed8e0rCV8BMjih-COWlyljD_Hfqg2SzCuqKASIsPk1O6_w" width="24" height="24" style="margin-left:0px;margin-top:0px"></span></span></a></p></td></tr></tbody></table>---</div><div dir="ltr" style="margin-left:0pt" align="left"><h1 class="gmail-part" id="gmail-WG-Meeting-2025-07-22">WG Meeting: 2025-07-22</h1><h2 class="gmail-part" id="gmail-Agenda"><a class="gmail-anchor gmail-hidden-xs" href="#Agenda" title="Agenda"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Agenda</h2><ul class="gmail-part">
<li class="gmail-">Review / voting dates</li>
<li class="gmail-">Tentative interop at Authenticate 2025 (Carlsbad, CA, Oct 13-15)</li>
<li class="gmail-">Issue 282: examples for complex matching <a href="https://github.com/openid/sharedsignals/issues/282" target="_blank" rel="noopener">Issue 282</a></li>
</ul><h2 class="gmail-part" id="gmail-Attendees"><a class="gmail-anchor gmail-hidden-xs" href="#Attendees" title="Attendees"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Attendees</h2><ul class="gmail-part gmail-in-view">
<li class="gmail-">Atul Tulshibagwale (SGNL)</li>
<li class="gmail-">Shayne Miel (Cisco)</li>
<li class="gmail-">Robert Gallagher ()</li>
<li class="gmail-">John Marchesini (Jamf)</li>
<li class="gmail-">Apoorva Deshpande (Okta)</li>
<li class="gmail-">Sean O'Dell (Disney)</li>
</ul><h2 class="gmail-part gmail-in-view" id="gmail-Notes"><a class="gmail-anchor gmail-hidden-xs" href="#Notes" title="Notes"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Notes</h2><h3 class="gmail-part gmail-in-view" id="gmail-Review--voting-dates"><a class="gmail-anchor gmail-hidden-xs" href="#Review--voting-dates" title="Review--voting-dates"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Review / voting dates</h3><ul class="gmail-part gmail-in-view">
<li class="gmail-">Review period ends Sunday, August 10, 2025</li>
<li class="gmail-">Voting period begins: Monday, August 11, 2025</li>
<li class="gmail-">Voting period ends: Monday, August 25, 2025</li>
</ul><h3 class="gmail-part gmail-in-view" id="gmail-Interop-at-the-Authenticate-Conference-2025"><a class="gmail-anchor gmail-hidden-xs" href="#Interop-at-the-Authenticate-Conference-2025" title="Interop-at-the-Authenticate-Conference-2025"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Interop at the Authenticate Conference 2025</h3><ul class="gmail-part gmail-in-view">
<li class="gmail-"><a href="https://drive.google.com/drive/folders/1_VA6sUh8jXSUDbM9N_hPrCk6ik8OlwRN?usp=sharing" target="_blank" rel="noopener">Interop resources</a></li>
</ul><h3 class="gmail-part gmail-in-view" id="gmail-Examples-for-complex-matching"><a class="gmail-anchor gmail-hidden-xs" href="#Examples-for-complex-matching" title="Examples-for-complex-matching"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Examples for complex matching</h3><ul class="gmail-part gmail-in-view">
<li class="gmail-">When I was going through the examples for complex subjects, with arrays and adding examples</li>
<li class="gmail-">But when I follow the language in the specs, "all fields in the complex subject must match"</li>
<li class="gmail-">If there are array values, then the implication is that a subset of the array values is not an actual match. This is probably not the behavior we want.</li>
<li class="gmail-">We will need a normative change to make this work.</li>
<li class="gmail-">If the receiver has registered an alias subject, and it has an ip address, and the user is identified by an email address, then doesn't the Transmitter need to send an event about that user?</li>
<li class="gmail-">(Atul) How to match a simple subject should be where the subject is defined</li>
<li class="gmail-">(Atul) rfc9493 should inform us on how to match it</li>
<li class="gmail-">(Shayne) 2 subjects match if they are identical is strong language and find it a hard way on changing this in a v1 but not v2.</li>
<li class="gmail-">(Atul) might leave this as an open issue and not one to address right now.</li>
<li class="gmail-">(Atul) IP Address subject types (Section 3.5.3) it does not tell you how to compare them and is problematic. A choice is needed now to change now or defer.</li>
<li class="gmail-">(Sean) My vote is defer.</li>
<li class="gmail-">(Atul) This is a clarity of spec issue and might be counter intuitive.</li>
<li class="gmail-">(Atul) How do we treat alias matching and the rules are not clear.</li>
<li class="gmail-">(Shayne) Most implementers don't use add subject so this is likely masked.</li>
<li class="gmail-">(Atul) We have rules on matching in 8.1.3.1 in the SSF Spec</li>
<li class="gmail-">(Atul) Events are about subject and matching is important</li>
<li class="gmail-">(Atul) Leaning towards not updating in V1 and will state that as it still being an open issue.</li>
<li class="gmail-">(Shayne) if we wait will it change anything in backwards compatibility? Wait to do it in V1 not V2?<br>
(Atul/Shayne) - Consideration on backwards compatibility are subject to implementations.<br>
(Atul) - So inform of normative changes in the voting period for voters to look at implementing forward with context. So you cant assume backwards compatibility.<br>
(Apoorva) - Why is this not a problem for receivers for events they do not understand?</li>
</ul><h2 class="gmail-part gmail-in-view" id="gmail-Action-Items"><a class="gmail-anchor gmail-hidden-xs" href="#Action-Items" title="Action-Items"><span class="gmail-octicon gmail-octicon-link gmail-ph gmail-ph-link-simple-horizontal"></span></a>Action Items</h2><p class="gmail-part gmail-in-view">(Shayne) - Will mention it in the notes when talking to Mike Jones that the guidance will be offered in V2.</p></div></span></div></div></div>