<div dir="ltr"><div class="gmail_extra">Was trying to run ESAPI-SwingSet but had issues running it with apache tomcat. I cannot find the SwingSet project on the localhost server page. If anybody could help!</div><div class="gmail_extra"><br></div><div class="gmail_extra"><br></div><div class="gmail_extra"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 16, 2014 at 5:30 PM,  <span dir="ltr"><<a href="mailto:esapi-dev-request@lists.owasp.org" target="_blank">esapi-dev-request@lists.owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Send Esapi-dev mailing list submissions to<br>
        <a href="mailto:esapi-dev@lists.owasp.org" target="_blank">esapi-dev@lists.owasp.org</a><br>
<br>
To subscribe or unsubscribe via the World Wide Web, visit<br>
        <a href="https://lists.owasp.org/mailman/listinfo/esapi-dev" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-dev</a><br>
or, via email, send a message with subject or body 'help' to<br>
        <a href="mailto:esapi-dev-request@lists.owasp.org" target="_blank">esapi-dev-request@lists.owasp.org</a><br>
<br>
You can reach the person managing the list at<br>
        <a href="mailto:esapi-dev-owner@lists.owasp.org" target="_blank">esapi-dev-owner@lists.owasp.org</a><br>
<br>
When replying, please edit your Subject line so it is more specific<br>
than "Re: Contents of Esapi-dev digest..."<br>
<br>
<br>
Today's Topics:<br>
<br>
   1. Re: Help regarding issue 251 (August Detlefsen)<br>
   2. Re: Help regarding issue 251 (Kevin W. Wall)<br>
<br>
<br>
----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Wed, 15 Oct 2014 19:06:26 -0700<br>
From: August Detlefsen <<a href="mailto:augustd@codemagi.com" target="_blank">augustd@codemagi.com</a>><br>
To: "Kevin W. Wall" <<a href="mailto:kevin.w.wall@gmail.com" target="_blank">kevin.w.wall@gmail.com</a>><br>
Cc: ESAPI-Developers <<a href="mailto:esapi-dev@lists.owasp.org" target="_blank">esapi-dev@lists.owasp.org</a>><br>
Subject: Re: [Esapi-dev] Help regarding issue 251<br>
Message-ID:<br>
        <<a href="mailto:CAM3zkijjw6NneerDV3zkPYWD-0bROOU-1mT6GrMsuqModFDHvQ@mail.gmail.com" target="_blank">CAM3zkijjw6NneerDV3zkPYWD-0bROOU-1mT6GrMsuqModFDHvQ@mail.gmail.com</a>><br>
Content-Type: text/plain; charset="utf-8"<br>
<br>
OK, apparently I don't have permission to commit on Github either...<br>
<br>
Here is a patch file. Do with it as you will.<br>
<br>
-August<br>
<br>
On Mon, Oct 13, 2014 at 2:29 PM, Kevin W. Wall <<a href="mailto:kevin.w.wall@gmail.com" target="_blank">kevin.w.wall@gmail.com</a>><br>
wrote:<br>
<br>
> No more commits on Google Code. ESAPI has now moved to GitHub.<br>
><br>
> -kevin<br>
> Sent from my Droid; please excuse typos.<br>
> On Oct 13, 2014 3:05 PM, "August Detlefsen" <<a href="mailto:augustd@codemagi.com" target="_blank">augustd@codemagi.com</a>> wrote:<br>
><br>
>> OK, I now have a fix that passes all tests, regardless of whether a<br>
>> lenient DateFormat is used.<br>
>><br>
>> However, I seem to have lost my commit access. Can someone please re-add<br>
>> me?<br>
>><br>
>> Thanks,<br>
>> August<br>
>><br>
>> On Mon, Oct 6, 2014 at 5:39 PM, Kevin W. Wall <<a href="mailto:kevin.w.wall@gmail.com" target="_blank">kevin.w.wall@gmail.com</a>><br>
>> wrote:<br>
>><br>
>>> [Apologies for the minor rearrangement to clean up the top posting.<br>
>>> -kevin]<br>
>>><br>
>>> On Mon, Oct 6, 2014 at 8:18 PM, August Detlefsen <<a href="mailto:augustd@codemagi.com" target="_blank">augustd@codemagi.com</a>><br>
>>> wrote:<br>
>>> > On Sat, Oct 4, 2014 at 3:28 AM, Fabio Cerullo <<a href="mailto:fcerullo@owasp.org" target="_blank">fcerullo@owasp.org</a>><br>
>>> wrote:<br>
>>> >><br>
>>> >> I belleve August has a point. We cannot handle all date formats that<br>
>>> could<br>
>>> >> be represented out there, but we definitely need to make sure the<br>
>>> ones we<br>
>>> >> accept are valid.<br>
>>> >><br>
>>> >> Fabio<br>
>>> >><br>
>>> >><br>
>>> >> On Saturday, October 4, 2014, August Detlefsen <<a href="mailto:augustd@codemagi.com" target="_blank">augustd@codemagi.com</a>><br>
>>> >> wrote:<br>
>>> >>><br>
>>> >>> If you want to be able to handle non-date information in your date<br>
>>> >>> parsing, you can specify string literals in SimpleDateFormat by<br>
>>> using single<br>
>>> >>> quotes. You just need to create a specific formatter to handle cases<br>
>>> like<br>
>>> >>> "Today is October 3, 2014". The format String would look something<br>
>>> like<br>
>>> >>> this:<br>
>>> >>><br>
>>> >>> "'Today is' MMMM d, yyyy"<br>
>>> >>><br>
>>> >>> So if someone needed to, they could definitely handle such odd cases<br>
>>> with<br>
>>> >>> ESAPI. But IMHO the default should be to strictly validate dates to<br>
>>> conform<br>
>>> >>> to the specified format.<br>
>>><br>
>>> Okay, that's great that Java provides a mechanism to do this, but AFAICT,<br>
>>> ESAPI itself provides no mechanism to do this.  I think again, the<br>
>>> question<br>
>>> is *should it*? (Note that this is a quite different argument than what<br>
>>> we<br>
>>> should allow the default to be.) If this is doable within ESAPI today,<br>
>>> *how*<br>
>>> is it down? (And note, it almost certainly has to be done at the API<br>
>>> level<br>
>>> so it can be controlled programmatically and not just through some ESAPI<br>
>>> property regex.)<br>
>>><br>
>>> > Actually, with the code change I proposed, the tests fail. I think this<br>
>>> > actually is due to a flaw in the test methodology itself:<br>
>>> ><br>
>>> > The test instantiates a DateFormat like this:<br>
>>> ><br>
>>> > DateFormat format = SimpleDateFormat.getDateInstance();<br>
>>> ><br>
>>> > SimpleDateFormat.getInstance() will return a lenient date format using<br>
>>> > Java's default 'MEDIUM' pattern. When you format a date with the MEDIUM<br>
>>> > pattern, it returns a String like this:<br>
>>> ><br>
>>> > Oct 6, 2014<br>
>>> ><br>
>>> > But because the formatter is lenient, it is stall able to parse full<br>
>>> dates<br>
>>> > like:<br>
>>><br>
>>> Ah, there it is. 'Lenient' is the word that I was looking for. I<br>
>>> mistakenly<br>
>>> referred to it as 'loose'. Hope that did not confuse anyone.<br>
>>><br>
>>> ><br>
>>> > October 6, 2014<br>
>>> ><br>
>>> > into a valid Java Date object.<br>
>>> ><br>
>>> > In this case, the tests all fail because the input "September 11,<br>
>>> 2001" does<br>
>>> > not match the formatted parsed date, "Sep 11, 2001". I could easily<br>
>>> change<br>
>>> > the test methodology to use a fully-specified date formatter like:<br>
>>> ><br>
>>> > DateFormat format = new SimpleDateFormat("MMMM dd, yyyy");<br>
>>> ><br>
>>> > and all tests would pass, BUT, what is the expected operational use<br>
>>> case of<br>
>>> > ESAPI? Do we need to support lenient date formats? Or can developers be<br>
>>> > expected to specify full date formats when using ESAPI?<br>
>>><br>
>>> And that exactly is why I posted, and in fact, asked Nalin Goel and<br>
>>> the two colleagues he is working with to post to *both* ESAPI-Dev and<br>
>>> ESAPI-User mailing lists.<br>
>>><br>
>>> I think most of us will agree on what the safe (wrt security) defaults<br>
>>> are,<br>
>>> but I'm not so convinced that we understand the operational use cases of<br>
>>> developers who happen to be *using* ESAPI, which IMO is quite a different<br>
>>> thing.  We still have not heard from the *user* community on this. Does<br>
>>> that mean no one cares or no one is using these Validator methods?<br>
>>><br>
>>> -kevin<br>
>>> --<br>
>>> Blog: <a href="http://off-the-wall-security.blogspot.com/" target="_blank">http://off-the-wall-security.blogspot.com/</a><br>
>>> NSA: All your crypto bit are belong to us.<br>
>>><br>
>><br>
>><br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <<a href="http://lists.owasp.org/pipermail/esapi-dev/attachments/20141015/ee71f9ae/attachment-0001.html" target="_blank">http://lists.owasp.org/pipermail/esapi-dev/attachments/20141015/ee71f9ae/attachment-0001.html</a>><br>
-------------- next part --------------<br>
A non-text attachment was scrubbed...<br>
Name: Issue_251.patch<br>
Type: application/octet-stream<br>
Size: 2442 bytes<br>
Desc: not available<br>
URL: <<a href="http://lists.owasp.org/pipermail/esapi-dev/attachments/20141015/ee71f9ae/attachment-0001.obj" target="_blank">http://lists.owasp.org/pipermail/esapi-dev/attachments/20141015/ee71f9ae/attachment-0001.obj</a>><br>
<br>
------------------------------<br>
<br>
Message: 2<br>
Date: Wed, 15 Oct 2014 22:12:10 -0400<br>
From: "Kevin W. Wall" <<a href="mailto:kevin.w.wall@gmail.com" target="_blank">kevin.w.wall@gmail.com</a>><br>
To: August Detlefsen <<a href="mailto:augustd@codemagi.com" target="_blank">augustd@codemagi.com</a>><br>
Cc: ESAPI-Developers <<a href="mailto:esapi-dev@lists.owasp.org" target="_blank">esapi-dev@lists.owasp.org</a>><br>
Subject: Re: [Esapi-dev] Help regarding issue 251<br>
Message-ID:<br>
        <CAOPE6Pg-r3-9xJA=M=<a href="mailto:2-RfCh_pwAjzFYKxwvADsxkTEsDcRt6w@mail.gmail.com" target="_blank">2-RfCh_pwAjzFYKxwvADsxkTEsDcRt6w@mail.gmail.com</a>><br>
Content-Type: text/plain; charset=UTF-8<br>
<br>
I'm relatively new to GitHub, but I think the general way it works is<br>
that you create your own personal fork (typically on GitHub, but<br>
anywhere that is publicly accessible works) and then you just shoot<br>
your URL to someone<br>
to merge it. I'm not sure, but I think that Chris might be the only one who<br>
can currently merge something to GitHub. I _might_ be able to, but I have<br>
never attempted.<br>
<br>
Anyhow, thanks for the patch. We'll take a look.<br>
<br>
-kevin<br>
<br>
On Wed, Oct 15, 2014 at 10:06 PM, August Detlefsen <<a href="mailto:augustd@codemagi.com" target="_blank">augustd@codemagi.com</a>> wrote:<br>
> OK, apparently I don't have permission to commit on Github either...<br>
><br>
> Here is a patch file. Do with it as you will.<br>
><br>
> -August<br>
><br>
> On Mon, Oct 13, 2014 at 2:29 PM, Kevin W. Wall <<a href="mailto:kevin.w.wall@gmail.com" target="_blank">kevin.w.wall@gmail.com</a>><br>
> wrote:<br>
>><br>
>> No more commits on Google Code. ESAPI has now moved to GitHub.<br>
>><br>
>> -kevin<br>
>> Sent from my Droid; please excuse typos.<br>
>><br>
>> On Oct 13, 2014 3:05 PM, "August Detlefsen" <<a href="mailto:augustd@codemagi.com" target="_blank">augustd@codemagi.com</a>> wrote:<br>
>>><br>
>>> OK, I now have a fix that passes all tests, regardless of whether a<br>
>>> lenient DateFormat is used.<br>
>>><br>
>>> However, I seem to have lost my commit access. Can someone please re-add<br>
>>> me?<br>
>>><br>
>>> Thanks,<br>
>>> August<br>
>>><br>
>>> On Mon, Oct 6, 2014 at 5:39 PM, Kevin W. Wall <<a href="mailto:kevin.w.wall@gmail.com" target="_blank">kevin.w.wall@gmail.com</a>><br>
>>> wrote:<br>
>>>><br>
>>>> [Apologies for the minor rearrangement to clean up the top posting.<br>
>>>> -kevin]<br>
>>>><br>
>>>> On Mon, Oct 6, 2014 at 8:18 PM, August Detlefsen <<a href="mailto:augustd@codemagi.com" target="_blank">augustd@codemagi.com</a>><br>
>>>> wrote:<br>
>>>> > On Sat, Oct 4, 2014 at 3:28 AM, Fabio Cerullo <<a href="mailto:fcerullo@owasp.org" target="_blank">fcerullo@owasp.org</a>><br>
>>>> > wrote:<br>
>>>> >><br>
>>>> >> I belleve August has a point. We cannot handle all date formats that<br>
>>>> >> could<br>
>>>> >> be represented out there, but we definitely need to make sure the<br>
>>>> >> ones we<br>
>>>> >> accept are valid.<br>
>>>> >><br>
>>>> >> Fabio<br>
>>>> >><br>
>>>> >><br>
>>>> >> On Saturday, October 4, 2014, August Detlefsen <<a href="mailto:augustd@codemagi.com" target="_blank">augustd@codemagi.com</a>><br>
>>>> >> wrote:<br>
>>>> >>><br>
>>>> >>> If you want to be able to handle non-date information in your date<br>
>>>> >>> parsing, you can specify string literals in SimpleDateFormat by<br>
>>>> >>> using single<br>
>>>> >>> quotes. You just need to create a specific formatter to handle cases<br>
>>>> >>> like<br>
>>>> >>> "Today is October 3, 2014". The format String would look something<br>
>>>> >>> like<br>
>>>> >>> this:<br>
>>>> >>><br>
>>>> >>> "'Today is' MMMM d, yyyy"<br>
>>>> >>><br>
>>>> >>> So if someone needed to, they could definitely handle such odd cases<br>
>>>> >>> with<br>
>>>> >>> ESAPI. But IMHO the default should be to strictly validate dates to<br>
>>>> >>> conform<br>
>>>> >>> to the specified format.<br>
>>>><br>
>>>> Okay, that's great that Java provides a mechanism to do this, but<br>
>>>> AFAICT,<br>
>>>> ESAPI itself provides no mechanism to do this.  I think again, the<br>
>>>> question<br>
>>>> is *should it*? (Note that this is a quite different argument than what<br>
>>>> we<br>
>>>> should allow the default to be.) If this is doable within ESAPI today,<br>
>>>> *how*<br>
>>>> is it down? (And note, it almost certainly has to be done at the API<br>
>>>> level<br>
>>>> so it can be controlled programmatically and not just through some ESAPI<br>
>>>> property regex.)<br>
>>>><br>
>>>> > Actually, with the code change I proposed, the tests fail. I think<br>
>>>> > this<br>
>>>> > actually is due to a flaw in the test methodology itself:<br>
>>>> ><br>
>>>> > The test instantiates a DateFormat like this:<br>
>>>> ><br>
>>>> > DateFormat format = SimpleDateFormat.getDateInstance();<br>
>>>> ><br>
>>>> > SimpleDateFormat.getInstance() will return a lenient date format using<br>
>>>> > Java's default 'MEDIUM' pattern. When you format a date with the<br>
>>>> > MEDIUM<br>
>>>> > pattern, it returns a String like this:<br>
>>>> ><br>
>>>> > Oct 6, 2014<br>
>>>> ><br>
>>>> > But because the formatter is lenient, it is stall able to parse full<br>
>>>> > dates<br>
>>>> > like:<br>
>>>><br>
>>>> Ah, there it is. 'Lenient' is the word that I was looking for. I<br>
>>>> mistakenly<br>
>>>> referred to it as 'loose'. Hope that did not confuse anyone.<br>
>>>><br>
>>>> ><br>
>>>> > October 6, 2014<br>
>>>> ><br>
>>>> > into a valid Java Date object.<br>
>>>> ><br>
>>>> > In this case, the tests all fail because the input "September 11,<br>
>>>> > 2001" does<br>
>>>> > not match the formatted parsed date, "Sep 11, 2001". I could easily<br>
>>>> > change<br>
>>>> > the test methodology to use a fully-specified date formatter like:<br>
>>>> ><br>
>>>> > DateFormat format = new SimpleDateFormat("MMMM dd, yyyy");<br>
>>>> ><br>
>>>> > and all tests would pass, BUT, what is the expected operational use<br>
>>>> > case of<br>
>>>> > ESAPI? Do we need to support lenient date formats? Or can developers<br>
>>>> > be<br>
>>>> > expected to specify full date formats when using ESAPI?<br>
>>>><br>
>>>> And that exactly is why I posted, and in fact, asked Nalin Goel and<br>
>>>> the two colleagues he is working with to post to *both* ESAPI-Dev and<br>
>>>> ESAPI-User mailing lists.<br>
>>>><br>
>>>> I think most of us will agree on what the safe (wrt security) defaults<br>
>>>> are,<br>
>>>> but I'm not so convinced that we understand the operational use cases of<br>
>>>> developers who happen to be *using* ESAPI, which IMO is quite a<br>
>>>> different<br>
>>>> thing.  We still have not heard from the *user* community on this. Does<br>
>>>> that mean no one cares or no one is using these Validator methods?<br>
>>>><br>
>>>> -kevin<br>
>>>> --<br>
>>>> Blog: <a href="http://off-the-wall-security.blogspot.com/" target="_blank">http://off-the-wall-security.blogspot.com/</a><br>
>>>> NSA: All your crypto bit are belong to us.<br>
>>><br>
>>><br>
><br>
<br>
<br>
<br>
--<br>
Blog: <a href="http://off-the-wall-security.blogspot.com/" target="_blank">http://off-the-wall-security.blogspot.com/</a><br>
NSA: All your crypto bit are belong to us.<br>
<br>
<br>
------------------------------<br>
<br>
_______________________________________________<br>
Esapi-dev mailing list<br>
<a href="mailto:Esapi-dev@lists.owasp.org" target="_blank">Esapi-dev@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-dev" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-dev</a><br>
<br>
<br>
End of Esapi-dev Digest, Vol 61, Issue 8<br>
****************************************<br>
</blockquote></div><br></div></div>