Email address recycling is an important issue, but since the status quo (password reset via email) doesn't address the recycling issue, perhaps it's not necessary to solve it. <div><br></div><div>It is important that RPs allow users to change their email address to prevent their RP account from being taken over if they lose the email address that they used to create the account. Perhaps that's good enough?</div>
<div><br></div><div>Allen</div><div><br><div><br><div class="gmail_quote">On Mon, Jul 18, 2011 at 10:02 PM, Nat Sakimura <span dir="ltr"><<a href="mailto:sakimura@gmail.com">sakimura@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">One of my concern around BrowserID is that it does not seem to take care of the email address recycling. <div>Email address verification "certificate" may be short lived but it does not solve the impersonation problem at all. </div>

<div>There has to be some ways of canonicalizing email address into a non-re-assignable identifier. </div><div>Otherwise we are screwed and BrowserID spec does not yet provide the solution. </div><div><br></div><div>As a conceptual solution, BrowserID is interesting if the browsers implements it and if we can get rid of BrowserID.org. </div>

<div>I would like to see more work towards. it. </div><div><br></div><div>=nat<br><br><div class="gmail_quote"><div><div></div><div class="h5">On Tue, Jul 19, 2011 at 1:05 PM, Allen Tom <span dir="ltr"><<a href="mailto:allentomdude@gmail.com" target="_blank">allentomdude@gmail.com</a>></span> wrote:<br>

</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div></div><div class="h5">Yeah, I totally agree - I was referring to a hypothetical protocol that's similar to OpenID Connect, but uses email addresses as the true identifier. <div>

<br></div><div>I don't see how BrowserID would be better than a version of OpenID Connect that only uses email addresses as the one true identifier.</div>
<div><br></div><div><div><font color="#888888">Allen</font><div><br><div><br><div><br><div class="gmail_quote">On Mon, Jul 18, 2011 at 8:51 PM, Phillip Hallam-Baker <span dir="ltr"><<a href="mailto:hallam@gmail.com" target="_blank">hallam@gmail.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">There is an advantage to throwing out the bad identifiers, It allows the user interface to be made a lot simpler as anything not an email address is wrong.<br>


<br><div>No URLs, no XRIs. </div><div><br></div><div><br></div>
<div>As for what to do if the email provider does not provide BrowserID, I don't think it is a problem, I would probably separate the accounts in any case. </div><div><div><div></div><div><br></div></div></div>
</blockquote></div></div></div></div></div></div>
<br></div></div><div class="im">_______________________________________________<br>
specs mailing list<br>
<a href="mailto:specs@lists.openid.net" target="_blank">specs@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs</a><br>
<br></div></blockquote></div><br><br clear="all"><br>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div><br>
</div>
</blockquote></div><br></div></div>