<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></head><body><div style="font-family:verdana, helvetica, sans-serif;font-size:10pt"><div>Nice choice.. Will follow the same in Objective-C.</div><div><br></div><div>Best Regards,</div><div>Deepak Subramanian</div><div>ESAPI Objective-C</div><div style="font-family:verdana, helvetica, sans-serif;font-size:10pt"><br><div style="font-family:times new roman, new york, times, serif;font-size:18pt"><font size="2" face="Tahoma"><hr size="1"><b><span style="font-weight: bold;">From:</span></b> Jim Manico &lt;jim.manico@owasp.org&gt;<br><b><span style="font-weight: bold;">To:</span></b> Jeff Williams &lt;jeff.williams@aspectsecurity.com&gt;<br><b><span style="font-weight: bold;">Cc:</span></b> "&lt;esapi-user@lists.owasp.org&gt;" &lt;esapi-user@lists.owasp.org&gt;<br><b><span style="font-weight: bold;">Sent:</span></b> Wed, September 8, 2010 4:02:38 PM<br><b><span style="font-weight:
 bold;">Subject:</span></b> Re: [Esapi-user] ESAPI development process<br></font><br>
I agree with Jeff. Encoders should never throw exceptions; they are so UI heavy and we don't want JSPs and the like to throw exceptions (nor do we want extensive exception handling requirements in UI code).<br><br>+1 for making this a config issue.<br><br>-Jim Manico<br><span><a target="_blank" href="http://manico.net">http://manico.net</a></span><br><br>On Sep 5, 2010, at 7:04 PM, "Jeff Williams" &lt;<a ymailto="mailto:jeff.williams@aspectsecurity.com" href="mailto:jeff.williams@aspectsecurity.com">jeff.williams@aspectsecurity.com</a>&gt; wrote:<br><br>&gt; That's a dang good point. I think always throwing an exception is<br>&gt; technically the right thing to do, but will cause a lot of applications<br>&gt; to break and maybe scare people off using ESAPI - which is exactly what<br>&gt; we don't want to do.<br>&gt; <br>&gt; I'd support an *option* for exception throwing, like<br>&gt; Encoder.setIllegalCharacterMode( THROW | REPLACE );&nbsp; I'd make
 replace<br>&gt; the default.<br>&gt; <br>&gt; Maybe another to set the replacement character.<br>&gt; Encoder.setReplaceCharacter(\uFFFD)?&nbsp; We'd have to decide the semantics<br>&gt; of Encoder.setReplaceCharacter(null).&nbsp; I think it's a good idea to have<br>&gt; \uFFED as the default. +1<br>&gt; <br>&gt; --Jeff<br>&gt; <br>&gt; <br>&gt; -----Original Message-----<br>&gt; From: Ed Schaller [mailto:<a ymailto="mailto:schallee@darkmist.net" href="mailto:schallee@darkmist.net">schallee@darkmist.net</a>] <br>&gt; Sent: Sunday, September 05, 2010 7:59 PM<br>&gt; To: Jim Manico<br>&gt; Cc: Jeff Williams; 'Patrick Higgins'; <a ymailto="mailto:esapi-user@lists.owasp.org" href="mailto:esapi-user@lists.owasp.org">esapi-user@lists.owasp.org</a><br>&gt; Subject: Re: [Esapi-user] ESAPI development process<br>&gt; <br>&gt;&gt; Bottom Line: The 2.0 rc6/7 encoder is *much* more robust. We need to <br>&gt;&gt; back-port the 2.0 encoder to 1.4. Any takers?
 :)<br>&gt; <br>&gt; Sorry for being dormant for so long. It's been busy...<br>&gt; <br>&gt; I looked seriously at syncing these up previously when I was working on<br>&gt; the encoders and didn't for a couple of reasons. The difference between<br>&gt; encoding was one of the main ones.<br>&gt; <br>&gt; The problem specifically here is what to do with characters which are<br>&gt; invalid for the output. The ones discussed for html are prime examples<br>&gt; and so is \u0000 for CSS. My preference would be having an exception<br>&gt; thrown for this instead of just a replacement. If a replacement is to be<br>&gt; used then I'd prefer something standard and obvious like \ufffd.<br>&gt; Currently the replacement in the HTML encoder is especially troubling<br>&gt; because it is a space which is specifically enumerated as a potential<br>&gt; attack in html attributes in<br><span>&gt; <a target="_blank"
 href="http://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention">http://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention</a></span><br>&gt; _Cheat_Sheet<br>&gt; rule number 2 (yes attributes should be quoted but esapi should protect<br>&gt; against those who forget).<br>&gt; <br>&gt; In general I think a policy needs to be decided for whether it should be<br>&gt; an exception or a replacement. If a replacement, which replacement<br>&gt; should be used needs to be clear.<br>&gt; <br>&gt; Thoughts?<br>&gt; <br>&gt;&gt;&gt;&gt; ------&gt;<br>_______________________________________________<br>Esapi-user mailing list<br><a ymailto="mailto:Esapi-user@lists.owasp.org" href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br></div></div><div style="position:fixed"></div>


</div><br>

      </body></html>