<HTML>
<HEAD>
<TITLE>Re: [Esapi-user] ESAPI book</TITLE>
</HEAD>
<BODY>
<FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>This is a very solid analysis &#8211; thank you so much Chris! Now, who&#8217;s gonna start bringin it up to snuff? :)<BR>
<BR>
<BR>
On 3/8/11 1:21 PM, &quot;Jim Manico&quot; &lt;<a href="jim.manico@owasp.org">jim.manico@owasp.org</a>&gt; wrote:<BR>
<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'><FONT COLOR="#1F497D">What an outstanding analysis of the ESAPI Swingset! Thank for you this Chris!<BR>
&nbsp;<BR>
</FONT></SPAN></FONT><FONT COLOR="#990000"><FONT FACE="Times New Roman"><SPAN STYLE='font-size:12pt'><a href="https://docs.google.com/document/d/1cmkpheaBZ3gn0DYX0fVw0NIyTBrA7-BzG1s81rxOM7M/edit?hl=de&amp;authkey=CPPQzqYN">https://docs.google.com/document/d/1cmkpheaBZ3gn0DYX0fVw0NIyTBrA7-BzG1s81rxOM7M/edit?hl=de&amp;authkey=CPPQzqYN</a><BR>
</SPAN></FONT></FONT><FONT COLOR="#1F497D"><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'> <BR>
When this document is done, would you please consider wikifying this and placing it on the ESAPI wiki?<BR>
&nbsp;<BR>
If you do not wish to do this, do you mind if we do?<BR>
&nbsp;<BR>
Thanks all,<BR>
Jim<BR>
&nbsp;<BR>
</SPAN></FONT></FONT><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'><BR>
</SPAN></FONT><FONT COLOR="#339999"><FONT SIZE="2"><FONT FACE="Tahoma, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:10pt'><B>From:</B> Christopher Dickinson [<a href="mailto:christopher.dickinson@edu.hefr.ch">mailto:christopher.dickinson@edu.hefr.ch</a>] <BR>
<B>Sent:</B> Monday, March 07, 2011 11:53 PM<BR>
<B>To:</B> Jim Manico<BR>
<B>Cc:</B> Rudolf Scheurer<BR>
<B>Subject:</B> Re: ESAPI book<BR>
</SPAN></FONT></FONT><FONT FACE="Times New Roman"><SPAN STYLE='font-size:12pt'> <BR>
</SPAN></FONT></FONT><FONT FACE="Times New Roman"><SPAN STYLE='font-size:12pt'><FONT COLOR="#990000">Dear Jim,<BR>
<BR>
Thank you for your response. It would be fun to complete the tutorial. However, it is possible I'll be working on a demo application in PHP in stead. Not decided yet.<BR>
<BR>
Here's a link to my exploration of swingset, also very much &quot;work in progress&quot;, but if it can be of some use, I'll gladly share it with you.<BR>
<BR>
<a href="https://docs.google.com/document/d/1cmkpheaBZ3gn0DYX0fVw0NIyTBrA7-BzG1s81rxOM7M/edit?hl=de&amp;authkey=CPPQzqYN">https://docs.google.com/document/d/1cmkpheaBZ3gn0DYX0fVw0NIyTBrA7-BzG1s81rxOM7M/edit?hl=de&amp;authkey=CPPQzqYN</a><BR>
<BR>
Best regards,<BR>
<BR>
Chris<BR>
</FONT><FONT COLOR="#339999"><BR>
on 03/08/2011 07:14 AM Jim Manico wrote : <BR>
</FONT></SPAN></FONT><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>Chris,<BR>
&nbsp;<BR>
Answers inline:<BR>
&nbsp;<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>Dear Jim,<BR>
&nbsp;<BR>
I am working my way through the bundled Tomcat+Swingset demo, writing<BR>
down my discoveries along the way.<BR>
&nbsp;<BR>
So far I have found various bugs that look like Swingset was not<BR>
finished when published. Take for example the page<BR>
<a href="http://localhost:8080/main?function=ChangePassword&amp;insecure">http://localhost:8080/main?function=ChangePassword&amp;insecure</a> which, when<BR>
submitted, attempts to load the non-existant page<BR>
<a href="http://localhost:8080/main?function=ChangePasswordInsecure">http://localhost:8080/main?function=ChangePasswordInsecure</a>. I see that<BR>
this has been changed in the most recent version on Google Code.<BR>
Similarly, the XSS page wrongly displays the User Input Validation<BR>
Tutorial, whereas the most recent version on Google Code has fixed that<BR>
and seems to have a proper XSS tutorial.<BR>
</SPAN></FONT></BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'> <BR>
This is not you - the swingset is not complete. Its a work in progress.<BR>
&nbsp;<BR>
&nbsp;<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>Other things remain puzzling. E.g. the Login tutorial still shows a<BR>
mostly empty page for the insecure demo<BR>
(<a href="https://code.google.com/p/owasp-esapi-java-swingset/source/browse/trunk/webapp/src/main/webapp/WEB-INF/jsp/LoginInsecure.jsp">https://code.google.com/p/owasp-esapi-java-swingset/source/browse/trunk/webapp/src/main/webapp/WEB-INF/jsp/LoginInsecure.jsp</a>).<BR>
</SPAN></FONT></BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'> <BR>
This is again, not you...<BR>
&nbsp;<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'> <BR>
Before I continue doing work that has surely been done before, would you<BR>
have any idea if there is an available list of unfinished parts of<BR>
either the published (bundled ZIP) version of Swingset or else of the<BR>
most recent source code of Swingset?<BR>
</SPAN></FONT></BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'> <BR>
There is not that I know of. We really need someone to &quot;own&quot; this piece<BR>
of code and keep it up to date. We are desperate for more help on this!<BR>
&nbsp;<BR>
&nbsp;<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>For the moment I'm doing this work merely as part of a global evaluation<BR>
of ESAPI Swingset. If I ever did attempt to rebundle the latest version,<BR>
I'll need to know what issues remain and which ones I might want to fix<BR>
before creating a new bundle.<BR>
</SPAN></FONT></BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'> <BR>
Do you have time to list those issues out? We really lost track of this<BR>
piece of code. It needs some love. :)<BR>
&nbsp;<BR>
Thank you, very much, for this help.<BR>
&nbsp;<BR>
- Jim<BR>
&nbsp;<BR>
&nbsp;<BR>
&nbsp;<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'> <BR>
Thank you for your help!<BR>
&nbsp;<BR>
Best regards,<BR>
&nbsp;<BR>
Chris<BR>
&nbsp;<BR>
p.s. I haven't downloaded and compiled the latest version of Swingset.<BR>
Do you happen to know if it is in a stable state? Would it be worth<BR>
examining that version in stead of the tomcat+swingset version I'm<BR>
currently working with?<BR>
&nbsp;<BR>
on 03/03/2011 08:50 AM Jim Manico wrote :<BR>
</SPAN></FONT><BLOCKQUOTE><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>So far I have the impression that ESAPI for Java was the first and still<BR>
is the most active project of all language specific ESAPI versions. Can<BR>
you confirm that?<BR>
</SPAN></FONT></BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>Agreed! You can see this in the google code activity metric.<BR>
&nbsp;<BR>
&nbsp;<BR>
&nbsp;Also, can you confirm that ESAPI for Java would be the<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>best place to start for getting to know ESAPI? I noticed that the<BR>
</SPAN></FONT></BLOCKQUOTE></BLOCKQUOTE></BLOCKQUOTE></BLOCKQUOTE>
</BODY>
</HTML>