<div dir="ltr"><div>Ah, I conflated Marketplace with Payments in my mind. What are your iframe plans for Payments, and are there any alternatives to using an iframe, possibly the redirect flow?<br><br>Firstrun flow is distinct from your work, the first run flow is the tour that is displayed the first time a Firefox user opens Firefox with a new profile.<br><br></div><div>Thanks Andy,<br></div><div>Shane<br></div><br><div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jul 2, 2015 at 9:18 PM, Andrew McKay <span dir="ltr"><<a href="mailto:amckay@mozilla.com" target="_blank">amckay@mozilla.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>I don't think the Marketplace ever supported the iframe flow, but you'd have to ask the Marketplace about their plans (we don't work on it anymore). <br><br>Would be concerned that this affects payments who were planning on using the iframe flow using the library you wrote, but then you confused me by saying " iframe support would still be available for the first run flow". <br><br></div>Sorry, I'm not up on the terminology and don't know the full extent of your proposal.<br></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jul 2, 2015 at 7:59 AM, Shane Tomlinson <span dir="ltr"><<a href="mailto:stomlinson@mozilla.com" target="_blank">stomlinson@mozilla.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div><div><div><div></div>I propose we remove iframe support for OAuth reliers.<br></div><div><br>We currently allow OAuth reliers and the upcoming firstrun flow to iframe FxA. Iframe support was added to allow Marketplace to embed FxA in-content.<br><br>Some fairly byzantine client-side checks are performed to ensure we aren't opening users up to phishing attacks. Those checks are complex, and honestly, pretty gross. <br><br>Ryan Kelly asked a good question - if no OAuth reliers currently ifram FxA, why do we even offer the functionality?<br></div> <br></div>Marketplace was able to integrate FxA without using an iframe. No other OAuth reliers that I know of use the iframe. I'd like to rip out OAuth relier iframe support and reduce the possible attack surface area.<br><br></div>Without iframe support, could simplify the content server, 123done (a test relier), and the fxa-relier-client.<br><br> Note, iframe support would still be available for the first run flow, no changes there.<br><br></div><div>Andy and Stuart, this would primarily affect you. Does anybody else know of an OAuth relier that iframes FxA?<br></div><div><br></div>Shane<br><br>------------------------<br><div><div><div><div><br>[1] - <a href="https://tools.ietf.org/html/rfc7034#section-2.1" target="_blank">https://tools.ietf.org/html/rfc7034#section-2.1</a><br></div></div></div></div></div>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div></div></div>