<html><head></head><body class="ApplePlainTextBody" dir="auto" style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">On 02 Nov 2015, at 18:27, Tony Arcieri <bascule@gmail.com> wrote:<br><blockquote type="cite"><br>FIDO in general is trying to build authentication systems designed from the ground-up to work on the web. This most notably involves following the Same Origin Policy or having explicit means of using credentials across origins where both origins must agree and the origin a credential is provisioned on provides an explicit policy for cross-origin use.<br><br>Following SOP has the nice side effect of being both privacy-preserving (certificates are origin-bound) and solving "cross-protocol attacks" where an attacker convinces a victim to sign a challenge/response used for auth in a non-auth context<br></blockquote><br>While SOP is well designed, captures all we’ve learned, has a lot of very nice properties (and we may get forced into it regardless - given the eagerness by which other things are forefully retired from the specs) — one may want to review it in the light of the open web principles. <br><br>The web was successful because it was open - and did not require permission of an entity to set up a site; or to ‘point to’ another site. Allowing newcomers a relatively level playing field with established forces. And allowing scale-free power ‘grabs' to be quite fluid and changing.<br><br>In my personal opinion SOP changes that balance considerably. <br><br>It may be for the better - but I am not quite sure yet.<br><br><blockquote type="cite">All that said: yes, this is a great step forward for the web.<br></blockquote><br>I agree it is a great step forward for authentication technology - and an improvement for the web as we know it today - with its large ‘probably not too evil’ fiefdoms and relatively simple set of feudal loyalty oaths one is to pledge to google, facebook or apple. BUT I am not so sure if SOP would have been conductive to make the web the success it is now - and certainly do not see SOP helping to bring the goodness of the open web to whatever the web will morph into.<br><br>Dw.<br><br><br><br></body></html>