<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

  <head>

    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">

  </head>

  <body bgcolor="#ffffff" text="#000000">

    On 6/8/10 10:47 AM, Adam Barth wrote:

    <blockquote

      cite="mid:AANLkTile0R1PGsFni57pP_Cfn5nQ567hWk21gwQuPTX2@mail.gmail.com"

      type="cite">

      <pre wrap="">On Tue, Jun 8, 2010 at 4:17 AM, Henri Sivonen <a class="moz-txt-link-rfc2396E" href="mailto:hsivonen@iki.fi"><hsivonen@iki.fi></a> wrote:

</pre>

      <blockquote type="cite">

        <pre wrap="">"Aaron Boodman (劉)" <a class="moz-txt-link-rfc2396E" href="mailto:aa@google.com"><aa@google.com></a> wrote:

</pre>

        <blockquote type="cite">

          <pre wrap="">If we add paths to the mix, we can do this. Applications on the same

origin can circumvent it if they want, but why would they? SOP

already

guarantees that apps on the same origin are friendly and cooperate

with each other. That doesn't mean it isn't useful for the UA to know

which one is which.

</pre>

        </blockquote>

        <pre wrap="">

I have to wonder why Google needs the browser team to solve this instead of having the Reader team relocate their stuff to reader.google.com (like maps.google.com is located already).

</pre>

      </blockquote>

      <pre wrap="">

Last time I asked about this, the answer I got was that there were

performance and branding considerations around whether to host an app

on www or on a dedicated subdomain.  For security, putting each app on

a separate subdomain is a win.

Adam

</pre>

    </blockquote>

    <font face="Helvetica Neue">For w</font>hat it's worth, I think that

    giving developers tools to easily define more granular security

    mechanisms without resorting to subdomains is a win in terms of

    usability, as it's quite difficult to figure out how to create

    subdomains and do virtual hosting--to say nothing of doing it over

    SSL.<br>

    <br>

    That said, introducing a brand new mechanism for security on top of

    SOP does seem like it might make the security landscape more complex

    as a whole, and thereby potentially more vulnerable.<br>

    <br>

    - Atul<br>

    <br>

  </body>

</html>