<div dir="ltr">Yup, but at least we will only request the master Ubuntu password when connected to the real Ubuntu website rather than passing it to the device unencrypted; only the allowed token is then passed to the device. Maybe that token can only access the store, or it can be revoked, but it feel less of a danger than passing the actual password?</div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 10, 2015 at 3:01 PM, Martin Albisetti <span dir="ltr"><<a href="mailto:martin.albisetti@canonical.com" target="_blank">martin.albisetti@canonical.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, Apr 10, 2015 at 9:13 AM, Loïc Minier <<a href="mailto:loic.minier@ubuntu.com">loic.minier@ubuntu.com</a>> wrote:<br>
> Can't we use oauth to auth against the regular Ubuntu SSO site, and deliver<br>
> a token to the router? That way, you only type your Ubuntu credentials<br>
> against the SSO website (using SSL). (I feel I'm missing something obvious)<br>
<br>
</span>How would that work?<br>
The user is in a browser remote from the device, with an unencrypted<br>
connection to it.<br>
There has to be some coordination between the browser (user) and the<br>
device, one way or another. Whatever that coordination is, it'll be<br>
interceptable.<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
--<br>
Martin<br>
</font></span></blockquote></div><br></div>