<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Nov 3, 2015 at 4:11 PM, Bill Cox <span dir="ltr"><<a href="mailto:waywardgeek@gmail.com" target="_blank">waywardgeek@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto" style="word-wrap:break-word">While SOP is well designed, captures all we’ve learned, has a lot of very nice properties (and we may get forced into it regardless - given the eagerness by which other things are forefully retired from the specs) — one may want to review it in the light of the open web principles. <br></div></blockquote><div><br></div></span><div>Dumb question: what's SOP stand for?</div></div></div></div></blockquote><div><br></div><div>Same-origin policy.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class=""><div>In a better world, IMO, we would register our devices semi-anonymously with web sites, and passwords/pins/fingerprints would only be used to authenticate you to your devices.  In such a world, there would be less need for a third party to provide authentication services.  I resisted using "Login with Facebook" and such in the past, but it seems hackers are gaining ground, and I am close to giving in.  By moving to device based authentication, which FIDO and some other techniques support, we can keep the web safe enough for smaller sites to continue managing their own user authentication.</div></span></div></div></div></blockquote><div><br></div><div>That's the dream of FIDO UAF </div></div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>