
<div dir="ltr"><div><div>Thanks Remy,<br></div><br>With Kinto, I imagine it's a browser based iframe and there should be some mechanism to tell the browser "ignore x-frame-options". This is the approach both Fennec and Fx Desktop currently take.<br><br></div>Shane<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jul 2, 2015 at 4:02 PM, Rémy Hubscher <span dir="ltr"><<a href="mailto:rhubscher@mozilla.com" target="_blank">rhubscher@mozilla.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

  
  <div bgcolor="#FFFFFF" text="#000000">

    Hello Shane,<br>

    <br>

    We should check with the guys from browser.html they plan to use FxA

    with Kinto during this Q3 and I remember we talked about iframe for

    this. (With Paul Rouget)<br>

    <br>

    Regards,<br>

    <br>

    Rémy<div><div class="h5"><br>

    <br>

    <br>

    <div>Le 02/07/2015 16:59, Shane Tomlinson a

      écrit :<br>

    </div>

    </div></div><blockquote type="cite"><div><div class="h5">

      <div dir="ltr">

        <div>

          <div>

            <div>

              <div>I propose we remove iframe support for OAuth reliers.<br>

              </div>

              <div><br>

                We currently allow OAuth reliers and the upcoming

                firstrun flow to iframe FxA. Iframe support was added to

                allow Marketplace to embed FxA in-content.<br>

                <br>

                Some fairly byzantine client-side checks are performed

                to ensure we aren't opening users up to phishing

                attacks. Those checks are complex, and honestly, pretty

                gross. <br>

                <br>

                Ryan Kelly asked a good question - if no OAuth reliers

                currently ifram FxA, why do we even offer the

                functionality?<br>

              </div>

               <br>

            </div>

            Marketplace was able to integrate FxA without using an

            iframe. No other OAuth reliers that I know of use the

            iframe. I'd like to rip out OAuth relier iframe support and

            reduce the possible attack surface area.<br>

            <br>

          </div>

          Without iframe support, could simplify the content server,

          123done (a test relier), and the fxa-relier-client.<br>

          <br>

          Note, iframe support would still be available for the first

          run flow, no changes there.<br>

          <br>

        </div>

        <div>Andy and Stuart, this would primarily affect you. Does

          anybody else know of an OAuth relier that iframes FxA?<br>

        </div>

        <div><br>

        </div>

        Shane<br>

        <br>

        ------------------------<br>

        <div>

          <div>

            <div>

              <div><br>

                [1] - <a href="https://tools.ietf.org/html/rfc7034#section-2.1" target="_blank">https://tools.ietf.org/html/rfc7034#section-2.1</a><br>

              </div>

            </div>

          </div>

        </div>

      </div>

      <br>

      <fieldset></fieldset>

      <br>

      </div></div><pre>_______________________________________________

Dev-fxacct mailing list

<a href="mailto:Dev-fxacct@mozilla.org" target="_blank">Dev-fxacct@mozilla.org</a>

<a href="https://mail.mozilla.org/listinfo/dev-fxacct" target="_blank">https://mail.mozilla.org/listinfo/dev-fxacct</a>

</pre>

    </blockquote>

    <br>

  </div>


</blockquote></div><br></div>