<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Nov 30, 2014 at 2:58 PM, Alfie John <span dir="ltr"><<a href="mailto:alfiej@fastmail.fm" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=alfiej@fastmail.fm&cc=&bcc=&su=&body=','_blank');return false;">alfiej@fastmail.fm</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">I think a better solution would be something like implementing Digest<br>
Authentication (RFC 2069, but replacing MD5 with something like AES-256<br>
and allow it to be upgradable) in the browser. The password field value<br>
would then be replaced with the value from the DA call and no secrets<br>
would be leaked. This solution would get way faster adoption.</blockquote><div><br></div><div>There's also the FIDO Alliance's Universal Authentication Factor:</div><div><br></div><div><a href="http://fidoalliance.org/specs/fido-uaf-overview-v1.0-rd-20140209.pdf">http://fidoalliance.org/specs/fido-uaf-overview-v1.0-rd-20140209.pdf</a> </div></div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>