
<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Title" content="">


<meta name="Keywords" content="">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman";}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


span.EmailStyle17


        {mso-style-type:personal-reply;


        font-family:Calibri;


        color:windowtext;}


span.msoIns


        {mso-style-type:export-only;


        mso-style-name:"";


        text-decoration:underline;


        color:teal;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style>


</head>


<body bgcolor="white" lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">I see, a bit tricky. The SSO scenario is even a bit scarier: let’s say the user is not logged in anywhere within MitreID domains and SSO partners. Even though the operation described below


 failed, not only the user behind the scenes is logged in to MitreID but also to all SSOs. I mean, I understand that deleting an existing session may be too drastic but creating a brand new one upon failure seems an unnecessary risk. Can’t it perform the redirect_url


 check before going all the way to the user log in?<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><o:p>&nbsp;</o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Regards,<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Luiz<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><o:p>&nbsp;</o:p></span></p>


<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">


<p class="MsoNormal"><b><span style="font-family:Calibri;color:black">From: </span>


</b><span style="font-family:Calibri;color:black">Justin Richer &lt;jricher@mit.edu&gt;<br>


<b>Date: </b>Friday, December 2, 2016 at 3:24 PM<br>


<b>To: </b>Luiz Omori &lt;luiz.omori@duke.edu&gt;<br>


<b>Cc: </b>&quot;mitreid-connect@mit.edu&quot; &lt;mitreid-connect@mit.edu&gt;<br>


<b>Subject: </b>Re: [mitreid-connect] Suspicious behaviour when invalid redirect uri is detected?<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><o:p>&nbsp;</o:p></p>


</div>


<p class="MsoNormal">This is expected but I understand it could be disconcerting. Your session to the IdP is not terminated on an error. Not only would that be an awful user experience in most cases, in some instances where the server is deployed in an SSO


 environment you *can’t* really kill the session anyway. <o:p></o:p></p>


<div>


<p class="MsoNormal"><o:p>&nbsp;</o:p></p>


</div>


<div>


<p class="MsoNormal">&nbsp;— Justin<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p>&nbsp;</o:p></p>


<div>


<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">


<div>


<p class="MsoNormal">On Dec 1, 2016, at 11:32 AM, Luiz Omori &lt;<a href="mailto:luiz.omori@duke.edu">luiz.omori@duke.edu</a>&gt; wrote:<o:p></o:p></p>


</div>


<p class="MsoNormal"><o:p>&nbsp;</o:p></p>


<div>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:Calibri">Hi,</span><span style="font-family:Calibri"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:Calibri">&nbsp;</span><span style="font-family:Calibri"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:Calibri">Interesting thing happened this morning while testing an application. I was using the Implicit flow and put a redirect url that hadn’t been configured in the server


 yet. The proper error message was displayed but I’ve noticed that may name was displayed on the top-right corner and could access some features from the server as if I was logged in to it. Is this by expected? I was kind of expecting that upon error my login


 would be aborted.</span><span style="font-family:Calibri"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:Calibri">&nbsp;</span><span style="font-family:Calibri"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:Calibri">Regards,</span><span style="font-family:Calibri"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:Calibri">Luiz</span><span style="font-family:Calibri"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:Calibri">&nbsp;</span><span style="font-family:Calibri"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:Calibri">(Pictures removed...)</span><span style="font-family:Calibri"><o:p></o:p></span></p>


</div>


<p class="MsoNormal"><span style="font-size:9.0pt;font-family:Helvetica;background:white">_______________________________________________</span><span style="font-size:9.0pt;font-family:Helvetica"><br>


<span style="background:white">mitreid-connect mailing list</span><br>


</span><a href="mailto:mitreid-connect@mit.edu"><span style="font-size:9.0pt;font-family:Helvetica;color:#954F72;background:white">mitreid-connect@mit.edu</span></a><span style="font-size:9.0pt;font-family:Helvetica"><br>


</span><a href="https://urldefense.proofpoint.com/v2/url?u=http-3A__mailman.mit.edu_mailman_listinfo_mitreid-2Dconnect&amp;d=CwMFaQ&amp;c=imBPVzF25OnBgGmVOlcsiEgHoG1i6YHLR0Sj_gZ4adc&amp;r=R6m41WT3w_KtulQAsSIxc_C2mwuKoWSycEMpss0QQJA&amp;m=YoJA05euf5lY8uMCoYCMWH38IgMqk01jZ2ycHC6-GBw&amp;s=BJSQi21OexyOoCNxbtU4fAtA1f844hO-dICE8Nc4s5c&amp;e="><span style="font-size:9.0pt;font-family:Helvetica;color:#954F72;background:white">http://mailman.mit.edu/mailman/listinfo/mitreid-connect</span></a><o:p></o:p></p>


</div>


</blockquote>


</div>


<p class="MsoNormal"><o:p>&nbsp;</o:p></p>


</div>


</div>


</body>


</html>