<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Jul 2, 2015, at 1:33 PM, Shane Tomlinson <<a href="mailto:stomlinson@mozilla.com" class="">stomlinson@mozilla.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class=""><div class="">Ah, I conflated Marketplace with Payments in my mind. What are your iframe plans for Payments, and are there any alternatives to using an iframe, possibly the redirect flow?<br class=""></div></div></div></blockquote><div><br class=""></div><div>Possibly, we were hoping to provide payments in a low key way as possible and were doing our best to provide a flow similar to your iframe flow. i.e. </div><div><br class=""></div><div>* site does iframe login using your library</div><div>* then opens up an iframe using our library using payments-client</div><div>* a promise is completed in the calling site, when the payment is complete</div><div><br class=""></div><div>You can see that sort of flow here: <a href="http://pay.dev.mozaws.net/" class="">http://pay.dev.mozaws.net/</a> (video <a href="http://andymckay.github.io/presentations/mozilla-q2-2015-payments/media/pay-fxa-first-purchase.ogg" class="">http://andymckay.github.io/presentations/mozilla-q2-2015-payments/media/pay-fxa-first-purchase.ogg</a>)</div><div><br class=""></div><div>The flows are independent, if the iframe flow for FxA was removed, our payments flow could still work in an iframe.</div><div><br class=""></div><div>So from our point of view, its more up to the clients that FxA has and what they’d like to do. We think the iframe is pretty spiffy though and I wish more people would use it.</div><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="">Firstrun flow is distinct from your work, the first run flow is the tour that is displayed the first time a Firefox user opens Firefox with a new profile.<br class=""><br class=""></div><div class="">Thanks Andy,<br class=""></div><div class="">Shane<br class=""></div><br class=""><div class=""><div class="gmail_extra"><br class=""><div class="gmail_quote">On Thu, Jul 2, 2015 at 9:18 PM, Andrew McKay <span dir="ltr" class=""><<a href="mailto:amckay@mozilla.com" target="_blank" class="">amckay@mozilla.com</a>></span> wrote:<br class=""><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr" class=""><div class="">I don't think the Marketplace ever supported the iframe flow, but you'd have to ask the Marketplace about their plans (we don't work on it anymore). <br class=""><br class="">Would be concerned that this affects payments who were planning on using the iframe flow using the library you wrote, but then you confused me by saying " iframe support would still be available for the first run flow". <br class=""><br class=""></div>Sorry, I'm not up on the terminology and don't know the full extent of your proposal.<br class=""></div><div class=""><div class=""><div class="gmail_extra"><br class=""><div class="gmail_quote">On Thu, Jul 2, 2015 at 7:59 AM, Shane Tomlinson <span dir="ltr" class=""><<a href="mailto:stomlinson@mozilla.com" target="_blank" class="">stomlinson@mozilla.com</a>></span> wrote:<br class=""><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr" class=""><div class=""><div class=""><div class=""><div class=""><div class=""></div>I propose we remove iframe support for OAuth reliers.<br class=""></div><div class=""><br class="">We currently allow OAuth reliers and the upcoming firstrun flow to iframe FxA. Iframe support was added to allow Marketplace to embed FxA in-content.<br class=""><br class="">Some fairly byzantine client-side checks are performed to ensure we aren't opening users up to phishing attacks. Those checks are complex, and honestly, pretty gross. <br class=""><br class="">Ryan Kelly asked a good question - if no OAuth reliers currently ifram FxA, why do we even offer the functionality?<br class=""></div> <br class=""></div>Marketplace was able to integrate FxA without using an iframe. No other OAuth reliers that I know of use the iframe. I'd like to rip out OAuth relier iframe support and reduce the possible attack surface area.<br class=""><br class=""></div>Without iframe support, could simplify the content server, 123done (a test relier), and the fxa-relier-client.<br class=""><br class=""> Note, iframe support would still be available for the first run flow, no changes there.<br class=""><br class=""></div><div class="">Andy and Stuart, this would primarily affect you. Does anybody else know of an OAuth relier that iframes FxA?<br class=""></div><div class=""><br class=""></div>Shane<br class=""><br class="">------------------------<br class=""><div class=""><div class=""><div class=""><div class=""><br class="">[1] - <a href="https://tools.ietf.org/html/rfc7034#section-2.1" target="_blank" class="">https://tools.ietf.org/html/rfc7034#section-2.1</a><br class=""></div></div></div></div></div>
</blockquote></div><br class=""></div>
</div></div></blockquote></div><br class=""></div></div></div>
</div></blockquote></div><br class=""></body></html>