<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Nov 10, 2013 at 10:23 AM, Chris Karlof <span dir="ltr"><<a href="mailto:ckarlof@mozilla.com" target="_blank">ckarlof@mozilla.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div><div>My understanding is that Safari's default policy is not as simple as "absolutely no third party cookies". </div>

<div><br></div><div>Do we understand what Safari classifies as a "third party cookie"? E.g., are <a href="http://x.y.com" target="_blank">x.y.com</a> and <a href="http://z.y.com" target="_blank">z.y.com</a> considered to have a "third party relationship"?</div>

</div></div></blockquote><div><br></div><div>I don't know the answer here. However, we have properties over many domains that would use a Firefox Account: <a href="http://marketplace.firefox.com">marketplace.firefox.com</a>, <a href="http://developer.mozilla.org">developer.mozilla.org</a>, <a href="http://webmaker.org">webmaker.org</a>, to name a few.<br>

</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div><div><br></div><div>Is our understanding of Safari's policy from the Persona context documented somewhere? I found this:</div>

<div><br></div><div><a href="https://github.com/mozilla/browserid/issues/3905#issuecomment-25002218" target="_blank">https://github.com/mozilla/browserid/issues/3905#issuecomment-25002218</a></div><div><br></div><div><div>

I also realize that "SSO has to work everywhere" was a little vague. In case there was confusion, I meant all web browsers, not all web sites.</div><span class="HOEnZb"><font color="#888888"><div><br></div></font></span></div>

<span class="HOEnZb"></span></div><br></div></blockquote><div><br></div><div>I know you meant all web browsers. I was saying Safari makes this really hard. <br></div></div><br></div></div>