<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Jul 2, 2015, at 4:27 PM, Andy McKay <<a href="mailto:amckay@mozilla.com" class="">amckay@mozilla.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><meta http-equiv="Content-Type" content="text/html charset=utf-8" class=""><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""><div class=""><blockquote type="cite" class=""><div class="">On Jul 2, 2015, at 1:33 PM, Shane Tomlinson <<a href="mailto:stomlinson@mozilla.com" class="">stomlinson@mozilla.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class=""><div class="">Ah, I conflated Marketplace with Payments in my mind. What are your iframe plans for Payments, and are there any alternatives to using an iframe, possibly the redirect flow?<br class=""></div></div></div></blockquote><div class=""><br class=""></div><div class="">Possibly, we were hoping to provide payments in a low key way as possible and were doing our best to provide a flow similar to your iframe flow. i.e. </div><div class=""><br class=""></div><div class="">* site does iframe login using your library</div><div class="">* then opens up an iframe using our library using payments-client</div><div class="">* a promise is completed in the calling site, when the payment is complete</div><div class=""><br class=""></div><div class="">You can see that sort of flow here: <a href="http://pay.dev.mozaws.net/" class="">http://pay.dev.mozaws.net/</a> (video <a href="http://andymckay.github.io/presentations/mozilla-q2-2015-payments/media/pay-fxa-first-purchase.ogg" class="">http://andymckay.github.io/presentations/mozilla-q2-2015-payments/media/pay-fxa-first-purchase.ogg</a>)</div><div class=""><br class=""></div><div class="">The flows are independent, if the iframe flow for FxA was removed, our payments flow could still work in an iframe.</div><div class=""><br class=""></div><div class="">So from our point of view, its more up to the clients that FxA has and what they’d like to do. We think the iframe is pretty spiffy though and I wish more people would use it.</div></div></div></div></blockquote><div><br class=""></div><div>To reiterate, we like the iframe flow for payments because it seems like the least intrusive way to submit a payment (on desktop). We do not want to redirect the user to a new page nor do we want to use popups. Since you mentioned security in your original approach, I’m cc’ing Adam Muntner here; he’s been helping us with the security around payments. When we originally talked about using an iframe, we felt the security aspects were tolerable since we were limiting usage to Mozilla properties only.</div><div><br class=""></div><div>Kumar</div><br class=""><blockquote type="cite" class=""><div class=""><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div class=""><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="">Firstrun flow is distinct from your work, the first run flow is the tour that is displayed the first time a Firefox user opens Firefox with a new profile.<br class=""><br class=""></div><div class="">Thanks Andy,<br class=""></div><div class="">Shane<br class=""></div><br class=""><div class=""><div class="gmail_extra"><br class=""><div class="gmail_quote">On Thu, Jul 2, 2015 at 9:18 PM, Andrew McKay <span dir="ltr" class=""><<a href="mailto:amckay@mozilla.com" target="_blank" class="">amckay@mozilla.com</a>></span> wrote:<br class=""><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr" class=""><div class="">I don't think the Marketplace ever supported the iframe flow, but you'd have to ask the Marketplace about their plans (we don't work on it anymore). <br class=""><br class="">Would be concerned that this affects payments who were planning on using the iframe flow using the library you wrote, but then you confused me by saying " iframe support would still be available for the first run flow". <br class=""><br class=""></div>Sorry, I'm not up on the terminology and don't know the full extent of your proposal.<br class=""></div><div class=""><div class=""><div class="gmail_extra"><br class=""><div class="gmail_quote">On Thu, Jul 2, 2015 at 7:59 AM, Shane Tomlinson <span dir="ltr" class=""><<a href="mailto:stomlinson@mozilla.com" target="_blank" class="">stomlinson@mozilla.com</a>></span> wrote:<br class=""><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr" class=""><div class=""><div class=""><div class=""><div class=""><div class=""></div>I propose we remove iframe support for OAuth reliers.<br class=""></div><div class=""><br class="">We currently allow OAuth reliers and the upcoming firstrun flow to iframe FxA. Iframe support was added to allow Marketplace to embed FxA in-content.<br class=""><br class="">Some fairly byzantine client-side checks are performed to ensure we aren't opening users up to phishing attacks. Those checks are complex, and honestly, pretty gross. <br class=""><br class="">Ryan Kelly asked a good question - if no OAuth reliers currently ifram FxA, why do we even offer the functionality?<br class=""></div> <br class=""></div>Marketplace was able to integrate FxA without using an iframe. No other OAuth reliers that I know of use the iframe. I'd like to rip out OAuth relier iframe support and reduce the possible attack surface area.<br class=""><br class=""></div>Without iframe support, could simplify the content server, 123done (a test relier), and the fxa-relier-client.<br class=""><br class=""> Note, iframe support would still be available for the first run flow, no changes there.<br class=""><br class=""></div><div class="">Andy and Stuart, this would primarily affect you. Does anybody else know of an OAuth relier that iframes FxA?<br class=""></div><div class=""><br class=""></div>Shane<br class=""><br class="">------------------------<br class=""><div class=""><div class=""><div class=""><div class=""><br class="">[1] - <a href="https://tools.ietf.org/html/rfc7034#section-2.1" target="_blank" class="">https://tools.ietf.org/html/rfc7034#section-2.1</a><br class=""></div></div></div></div></div>
</blockquote></div><br class=""></div>
</div></div></blockquote></div><br class=""></div></div></div>
</div></blockquote></div><br class=""></div>_______________________________________________<br class="">Dev-fxacct mailing list<br class=""><a href="mailto:Dev-fxacct@mozilla.org" class="">Dev-fxacct@mozilla.org</a><br class="">https://mail.mozilla.org/listinfo/dev-fxacct<br class=""></div></blockquote></div><br class=""></body></html>