On Fri, Dec 25, 2009 at 8:52 PM, Lars Francke <span dir="ltr"><<a href="mailto:lars.francke@gmail.com">lars.francke@gmail.com</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

The Resource Owner Authorization[4] as well as the exchange of the<br>
shared secret will need to be done using a secure method (SSL/TLS) but<br>
that doesn't mean that OAuth 1.0a or OAuth WRAP aren't valid<br>
authentication/authorization mechanisms. It just means that there is a<br>
way to implement it in an insecure way.<br></blockquote><div><br>Okay, but isn't OAuth being presented as an alternative to SSL?<br><br>What I got from a quick read of the spec (<a href="http://oauth.net/core/1.0a/">http://oauth.net/core/1.0a/</a>) is this: "Unless a transport-layer security protocol is used, eavesdroppers will
          have full access to OAuth requests and signatures, and will thus be
          able to mount offline brute-force attacks to recover the Consumer's
          credentials used."<br><br>I'd imagine a large number of OSM passwords can be easily brute forced given offline access.<br><br>Not that I think it much matters.  I agree with Steve that stealing OSM passwords isn't that big of a deal.<br>
</div></div>