<div dir="auto"><div><div class="gmail_quote"><div dir="ltr">On Mon, Jan 14, 2019, 12:30 PM Gary E. Miller via devel <<a href="mailto:devel@ntpsec.org">devel@ntpsec.org</a> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Yo Hal!<br>
<br>
On Mon, 14 Jan 2019 12:19:09 -0800<br>
Hal Murray via devel <<a href="mailto:devel@ntpsec.org" target="_blank" rel="noreferrer">devel@ntpsec.org</a>> wrote:<br>
<br>
> When the NTP server is returning new cookies to the client, they are<br>
> encrypted so that a spy can't track the client if it moves to a new<br>
> IP Address before it uses the cookie.<br>
<br>
I see nothing in the Proposed RFC that binds a cookie to an IP.  Good<br>
thing, it is a bad idea.</blockquote></div></div><div dir="auto"><br></div><div dir="auto">Adding (a) cookie field(s) could allow interesting behavior such as client migration tracking and forced key expiration after N rounds of NTP queries.</div><div dir="auto"><br></div><div dir="auto">It might be worth considering for restrictions in draft 16.</div></div>