<div dir="auto">unless C convinces B that it's A when in fact it's not A at all.</div><div class="gmail_extra"><br><div class="gmail_quote">On Dec 28, 2017 12:17 AM, "Sujit K M" <<a href="mailto:kmsujit@gmail.com">kmsujit@gmail.com</a>> wrote:<br type="attribution"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="quoted-text">On Thu, Dec 28, 2017 at 10:13 AM, John Weintraub<br>
<<a href="mailto:johnweintraub@gmail.com">johnweintraub@gmail.com</a>> wrote:<br>
> Hi Sujit;<br>
><br>
> I'd think that the site A or B or both have some auto-logoff feature, where<br>
> after not very long, if no activity is detected, the user is logged out.<br>
> This could be, say three to five minutes of inactivity. I know that would<br>
> create some vulnerability, but that's a pretty narrow window in which to<br>
> hack a website. And for my money, I think it would be site A that would have<br>
> the auto-logoff feature, which might be as simple as a script telling site B<br>
> to log out the inactive user.<br>
><br>
<br>
</div>Another way to look at it is since A calls B and B knows A is the One<br>
that is authenticated.<br>
It doesn't let Another Site C To use the authentication owned by A.<br>
<div class="elided-text"><br>
______________________________<wbr>_________________<br>
talk mailing list<br>
<a href="mailto:talk@lists.nycbug.org">talk@lists.nycbug.org</a><br>
<a href="http://lists.nycbug.org/mailman/listinfo/talk" rel="noreferrer" target="_blank">http://lists.nycbug.org/<wbr>mailman/listinfo/talk</a><br>
</div></blockquote></div><br></div>