<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.5in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.apple-style-span
        {mso-style-name:apple-style-span;}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body bgcolor=white lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal style='margin-left:.5in'><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Jeff - Your encoder work is good. But I hope that we can agree that Parameterization and Binding is the best approach to provide high-assurance from SQL injection. Manual escaping is last resort that does not provide high-assurance defense from SQL injection.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Totally agree.&nbsp; I&#8217;m trying to point out that the ESAPI codecs are not just for preventing injection.&nbsp; The codecs support canonicalization/validation/intrusion detection as well. <o:p></o:p></span></p><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>--Jeff<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p></div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Jim Manico [mailto:jim.manico@owasp.org] <br><b>Sent:</b> Thursday, July 28, 2011 1:26 AM<br><b>To:</b> Jeff Williams<br><b>Cc:</b> Rama Krishna Pathangi; ESAPI User Group<br><b>Subject:</b> Re: [Esapi-user] Esapi-user Digest, Vol 20, Issue 12<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p>&nbsp;</o:p></p><div><p class=MsoNormal>Jeff,<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>If you dig into latest versions of Oracle JDBC drivers (which you can decompile with Jad) you will find that the parameterization is a LOT more complex than simple encoding. The driver needs to dynamically understand the context before applying encoding or other defensive logic.<o:p></o:p></p></div><div><p class=MsoNormal><br><br><o:p></o:p></p></div><div><p class=MsoNormal><span class=apple-style-span>Also, straight SQL gets to be very long fast and there are situations where your query string is so long that it exceeded query size limits for straight SQL. Parameterization gives you a lot more room to breathe. Edge case but real.</span><o:p></o:p></p></div><div><p class=MsoNormal><br><br><o:p></o:p></p></div><div><p class=MsoNormal><span class=apple-style-span>Parameterization also provides significant performance enhancements and caching when you have a lot of duplicate queries running. &nbsp;Edge cases where parameterization hurts performance has been fixed in recent versions of Oracle.</span><o:p></o:p></p></div><div><p class=MsoNormal><br><br><o:p></o:p></p></div><div><p class=MsoNormal><span class=apple-style-span>Jeff - Your encoder work is good. But I hope that we can agree that Parameterization and Binding is the best approach to provide high-assurance from SQL injection. Manual escaping is last resort that does not provide high-assurance defense from SQL injection.</span><o:p></o:p></p></div><div><p class=MsoNormal><br><br><o:p></o:p></p></div><div><p class=MsoNormal><span class=apple-style-span>Fair comments?</span><o:p></o:p></p></div><div><p class=MsoNormal><br>- Jim Manico<o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><br>On Jul 27, 2011, at 10:30 PM, &quot;Jeff Williams&quot; &lt;<a href="mailto:jeff.williams@aspectsecurity.com">jeff.williams@aspectsecurity.com</a>&gt; wrote:<o:p></o:p></p></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Codecs aren&#8217;t a last resort for canonicalization and input validation, which is required for attack detection like what is done in AppSensor.&nbsp; More fundamentally, I think these codecs are exactly the type of fundamental building blocks that are required before we (as an industry) can move past injection and get to harder problems.&nbsp; I say we just build these out, get them right, and move on.</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>&nbsp;</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>As far as I know, there&#8217;s nothing that prevents a codec from supporting a changeable escape syntax.&nbsp; We sort of support that with the two modes in the MySQLCodec.</span><o:p></o:p></p><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>&nbsp;</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>--Jeff</span><o:p></o:p></p></div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>&nbsp;</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>&nbsp;</span><o:p></o:p></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Jim Manico [mailto:<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>] <br><b>Sent:</b> Wednesday, July 27, 2011 6:35 PM<br><b>To:</b> Jeff Williams<br><b>Cc:</b> Rama Krishna Pathangi; ESAPI User Group<br><b>Subject:</b> Re: [Esapi-user] Esapi-user Digest, Vol 20, Issue 12</span><o:p></o:p></p></div></div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Jeff,<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>I agree these encoders belong in ESAPI but only as a last resort.<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Case and point: You can change Oracles escape character dynamically and the JDBC driver would pick that up, but a hard coded escape function would not, leaving you injectable.<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>But still Jeff, as a last resort or as a stopgap measure, I agree.<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><br>- Jim Manico<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'><br>On Jul 27, 2011, at 5:27 PM, &quot;Jeff Williams&quot; &lt;<a href="mailto:jeff.williams@aspectsecurity.com">jeff.williams@aspectsecurity.com</a>&gt; wrote:<o:p></o:p></p></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Perhaps he is interested in canonicalization? &nbsp;There are plenty of good reasons to have a SQLServer codec in ESAPI.<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>There were some discussions around this a while back, and maybe even an implementation. &nbsp;Would you be interested in helping put this together?&nbsp;<br><br>--Jeff<o:p></o:p></p><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p></div></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'><br>On Jul 27, 2011, at 5:22 PM, &quot;Jim Manico&quot; &lt;<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt; wrote:<o:p></o:p></p></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Rama,<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&nbsp;<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>This is a deeply fragile way to stop XSS. Can you just use parameterized queries with data binding? We heavily recommend this as the best way to stop SQL injection.<br><br>- Jim Manico<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'><br>On Jul 27, 2011, at 12:48 PM, Rama Krishna Pathangi &lt;<a href="mailto:rpathangi@hotmail.com">rpathangi@hotmail.com</a>&gt; wrote:<o:p></o:p></p></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Hello,<br>&nbsp;<br>We are currently using ESAPI 2.0 GA.<br>In line with the following, I was wondering if we can have a codec for SQLServer in your future release.<br>SAPI.encoder().encodeForSQL( new OracleCodec(), dirtyString );<br>SAPI.encoder().encodeForSQL( new DB2Codec(), dirtyString );<br><br><span style='font-family:"Tahoma","sans-serif"'>--</span><br><span style='font-family:"Tahoma","sans-serif"'>Rama Krishna Rao Pathangi</span><br><span style='font-family:"Tahoma","sans-serif"'>[c]&nbsp;1 503 962 9480</span><br><span style='font-family:"Tahoma","sans-serif"'>[f]&nbsp; 1 801 409 7951</span><br><br>&nbsp;<o:p></o:p></p><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>&gt; From: <a href="mailto:esapi-user-request@lists.owasp.org">esapi-user-request@lists.owasp.org</a><br>&gt; Subject: Esapi-user Digest, Vol 20, Issue 12<br>&gt; To: <a href="mailto:esapi-user@lists.owasp.org">esapi-user@lists.owasp.org</a><br>&gt; Date: Wed, 27 Jul 2011 12:00:05 -0400<br>&gt; <br>&gt; Send Esapi-user mailing list submissions to<br>&gt; <a href="mailto:esapi-user@lists.owasp.org">esapi-user@lists.owasp.org</a><br>&gt; <br>&gt; To subscribe or unsubscribe via the World Wide Web, visit<br>&gt; <a href="https://lists.owasp.org/mailman/listinfo/esapi-user">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>&gt; or, via email, send a message with subject or body 'help' to<br>&gt; <a href="mailto:esapi-user-request@lists.owasp.org">esapi-user-request@lists.owasp.org</a><br>&gt; <br>&gt; You can reach the person managing the list at<br>&gt; <a href="mailto:esapi-user-owner@lists.owasp.org">esapi-user-owner@lists.owasp.org</a><br>&gt; <br>&gt; When replying, please edit your Subject line so it is more specific<br>&gt; than &quot;Re: Contents of Esapi-user digest...&quot;<br>&gt; <br>&gt; <br>&gt; Today's Topics:<br>&gt; <br>&gt; 1. Re: [Esapi-dev] ESAPI 2.0.1 Released (Dave Wolf)<br>&gt; 2. Fwd: .NET and Java WAF (Christian Heinrich)<br>&gt; 3. Re: .NET and Java WAF (Jim Manico)<br>&gt; 4. Re: [Esapi-dev] .NET and Java WAF (Kevin W. Wall)<br>&gt; 5. Re: [GPC] Fwd: .NET and Java WAF (Jason Li)<br>&gt; 6. using SafeRequest (Normando Macaraeg)<br>&gt; 7. Re: using SafeRequest (Kevin W. Wall)<br>&gt; 8. Re: [Esapi-dev] .NET and Java WAF (Christian Heinrich)<br>&gt; <br>&gt; <br>&gt; ----------------------------------------------------------------------<br>&gt; <br>&gt; Message: 1<br>&gt; Date: Tue, 26 Jul 2011 17:14:12 +0000<br>&gt; From: Dave Wolf &lt;<a href="mailto:dave.wolf@gmail.com">dave.wolf@gmail.com</a>&gt;<br>&gt; Subject: Re: [Esapi-user] [Esapi-dev] ESAPI 2.0.1 Released<br>&gt; To: ESAPI Dev List &lt;<a href="mailto:esapi-dev@lists.owasp.org">esapi-dev@lists.owasp.org</a>&gt;,<br>&gt; &quot;<a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a>&quot; &lt;<a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a>&gt;<br>&gt; Message-ID:<br>&gt; &lt;<a href="mailto:CAF1Q6Q3EHDgAwCheTt6e9E3HmZd+smu3eVSkEj8dqpHV1nRpyA@mail.gmail.com">CAF1Q6Q3EHDgAwCheTt6e9E3HmZd+smu3eVSkEj8dqpHV1nRpyA@mail.gmail.com</a>&gt;<br>&gt; Content-Type: text/plain; charset=&quot;utf-8&quot;<br>&gt; <br>&gt; Hi,<br>&gt; <br>&gt; FYI, I'm not finding 2.0.1 on Maven Central. The most current release that<br>&gt; shows up is 2.0GA. I'm searching using:<br>&gt; g:&quot;org.owasp.esapi&quot; AND a:&quot;esapi&quot; AND v:&quot;2.0.1&quot;<br>&gt; <br>&gt; Any ideas what is going on?<br>&gt; <br>&gt; Thanks,<br>&gt; <br>&gt; Dave Wolf<br>&gt; <br>&gt; Date: Mon, 25 Jul 2011 08:01:35 -0400<br>&gt; From: &quot;Kevin W. Wall&quot; &lt;<a href="mailto:kevin.w.wall@gmail.com">kevin.w.wall@gmail.com</a>&gt;<br>&gt; Subject: Re: [Esapi-dev] ESAPI 2.0.1 Released<br>&gt; To: Chris Schmidt &lt;<a href="mailto:chris.schmidt@owasp.org">chris.schmidt@owasp.org</a>&gt;<br>&gt; Cc: ESAPI Devs &lt;<a href="mailto:esapi-dev@lists.owasp.org">esapi-dev@lists.owasp.org</a>&gt;,<br>&gt; &quot;<a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a>&quot; &lt;<a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a>&gt;<br>&gt; Message-ID:<br>&gt; &lt;<a href="mailto:CAOPE6PhgP5NnFLxA2nBKKCG5P39N4vuTU0+U1U3SmbcC_eY2kA@mail.gmail.com">CAOPE6PhgP5NnFLxA2nBKKCG5P39N4vuTU0+U1U3SmbcC_eY2kA@mail.gmail.com</a>&gt;<br>&gt; Content-Type: text/plain; charset=ISO-8859-1<br>&gt; <br>&gt; On Mon, Jul 25, 2011 at 4:44 AM, Chris Schmidt &lt;<a href="mailto:chris.schmidt@owasp.org">chris.schmidt@owasp.org</a>&gt;<br>&gt; wrote:<br>&gt; &gt; Due to popular demand ESAPI 2.0.1 has been released with some minor (but<br>&gt; &gt; important) bug fixes. The changelist is below.<br>&gt; &gt; [snip]<br>&gt; &gt; Change log from <a href="http://2.0.GA">2.0.GA</a> &lt;<a href="http://2.0.ga/">http://2.0.ga/</a>&gt; to 2.0.1<br>&gt; &gt;<br>&gt; &gt; 2011-07-25 00:01:38 chrisisbeef /trunk/pom.xml v 1858<br>&gt; &gt;<br>&gt; &gt; Removed version from project name... Fixes Issue #235<br>&gt; &gt; 2011-07-24 23:56:06 chrisisbeef<br>&gt; &gt; /trunk/configuration/esapi/<br>&gt; ESAPI.properties v 1857<br>&gt; &gt; /trunk/src/test/java/org/owasp/esapi/reference/ValidatorTest.java v 1857<br>&gt; &gt;<br>&gt; &gt; Resolves issue #46 - allow context path to have leading slash or be empty<br>&gt; &gt; 2011-07-23 14:36:17 chrisisbeef<br>&gt; &gt;<br>&gt; /trunk/src/main/java/org/owasp/esapi/reference/DefaultSecurityConfiguration.java<br>&gt; &gt; v 1856<br>&gt; &gt;<br>&gt; &gt; Get rid of really irritating stacktrace everytime esapi loads.<br>&gt; &gt;<br>&gt; &gt; fixes issue #220<br>&gt; &gt; 2011-07-23 14:25:45 chrisisbeef<br>&gt; &gt; /trunk/src/main/java/org/owasp/esapi/reference/DefaultValidator.java v<br>&gt; 1855<br>&gt; &gt;<br>&gt; &gt; Resolve issue 232 Validation Type Error<br>&gt; &gt; 2011-07-23 14:17:34 chrisisbeef<br>&gt; &gt; /trunk/src/main/java/org/owasp/esapi/reference/DefaultEncoder.java v 1854<br>&gt; &gt;<br>&gt; &gt; Fix issue 231 inverted logic error with canonicalization.<br>&gt; <br>&gt; Chris,<br>&gt; <br>&gt; Well, let me be amongst the first to publically congratulate you for pushing<br>&gt; out these fixes, and especially issue #46, which I pretty much dropped the<br>&gt; ball on.<br>&gt; <br>&gt; Thanks for your hard work. The whole ESAPI community owes you a beer!<br>&gt; Great job.<br>&gt; <br>&gt; -kevin<br>&gt; --<br>&gt; Blog: <a href="http://off-the-wall-security.blogspot.com/">http://off-the-wall-security.blogspot.com/</a><br>&gt; &quot;The most likely way for the world to be destroyed, most experts agree,<br>&gt; is by accident. That's where we come in; we're computer professionals.<br>&gt; We *cause* accidents.&quot; -- Nathaniel Borenstein<br>&gt; <br>&gt; Dave Wolf<br>&gt; <br>&gt; &quot;There is no passion to be found playing small - in settling for a life that<br>&gt; is less than the one you are capable of living.&quot; --Nelson Mandela<br>&gt; -------------- next part --------------<br>&gt; An HTML attachment was scrubbed...<br>&gt; URL: <a href="https://lists.owasp.org/pipermail/esapi-user/attachments/20110726/f6fa9b61/attachment-0001.html">https://lists.owasp.org/pipermail/esapi-user/attachments/20110726/f6fa9b61/attachment-0001.html</a> <br>&gt; <br>&gt; ------------------------------<br>&gt; <br>&gt; Message: 2<br>&gt; Date: Wed, 27 Jul 2011 10:23:39 +1000<br>&gt; From: Christian Heinrich &lt;<a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a>&gt;<br>&gt; Subject: [Esapi-user] Fwd: .NET and Java WAF<br>&gt; To: Global Projects Committee<br>&gt; &lt;<a href="mailto:global-projects-committee@lists.owasp.org">global-projects-committee@lists.owasp.org</a>&gt;<br>&gt; Cc: ESAPI-Developers &lt;<a href="mailto:esapi-dev@lists.owasp.org">esapi-dev@lists.owasp.org</a>&gt;, ESAPI-Users<br>&gt; &lt;<a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a>&gt;<br>&gt; Message-ID:<br>&gt; &lt;<a href="mailto:CAFCvB5JThsd3g2AKP9kthkHKcywgj7dbK4r9JaMtqtVd3WEmZA@mail.gmail.com">CAFCvB5JThsd3g2AKP9kthkHKcywgj7dbK4r9JaMtqtVd3WEmZA@mail.gmail.com</a>&gt;<br>&gt; Content-Type: text/plain; charset=ISO-8859-1<br>&gt; <br>&gt; GPC,<br>&gt; <br>&gt; Please consider this notice that &quot;we&quot; intend to escalate for<br>&gt; recognition as an OWASP Project by the GPC shortly after BlackHat and<br>&gt; DefCon.<br>&gt; <br>&gt; Hence I have CC ESAPI Mailing List for discussion in the interim until<br>&gt; the @<a href="http://owasp.org">owasp.org</a> Mailing Lists are created.<br>&gt; <br>&gt; Juan, Ryan, Jason and Jason have been BCC.<br>&gt; <br>&gt; ---------- Forwarded message ----------<br>&gt; From: Christian Heinrich &lt;<a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a>&gt;<br>&gt; Date: Tue, Jul 26, 2011 at 8:33 AM<br>&gt; Subject: Re: [Esapi-user] WAF 2.0? alpha on repository<br>&gt; To: &quot;Calderon, Juan Carlos (GE, Corporate, consultant)&quot; &lt;<a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a>&gt;<br>&gt; Cc: Jim Manico &lt;<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt;, Ryan Barnett &lt;<a href="mailto:ryan.barnett@owasp.org">ryan.barnett@owasp.org</a>&gt;<br>&gt; <br>&gt; <br>&gt; Juan,<br>&gt; <br>&gt; On Tue, Jul 26, 2011 at 6:02 AM, Calderon, Juan Carlos (GE, Corporate,<br>&gt; consultant) &lt;<a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a>&gt; wrote:<br>&gt; &gt; What do you mean closing this off? Having it ready or defining is an<br>&gt; &gt; OWASP project?<br>&gt; <br>&gt; I was referring too having it listed as an OWASP Project, such as an<br>&gt; associated mailing list, etc.<br>&gt; <br>&gt; On Tue, Jul 26, 2011 at 6:02 AM, Calderon, Juan Carlos (GE, Corporate,<br>&gt; consultant) &lt;<a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a>&gt; wrote:<br>&gt; &gt; Just as a small update, Aldo Salas a certified Java developer is helping<br>&gt; &gt; me out to finish this project, we have a progress meeting this Thursday,<br>&gt; &gt; also I sent a paper proposal to OWASP LATAM to present a course on<br>&gt; &gt; Mod_security for Java this October (that is it should be well tested and<br>&gt; &gt; finished by then) :)<br>&gt; <br>&gt; I can note this milestone in the Project Plan - I will list it for<br>&gt; November to account for the unlikely event that the deadline slips or<br>&gt; to demonstrate that we ship it earlier then expected :)<br>&gt; <br>&gt; <br>&gt; -- <br>&gt; Regards,<br>&gt; Christian Heinrich<br>&gt; <a href="http://www.owasp.org/index.php/user:cmlh">http://www.owasp.org/index.php/user:cmlh</a><br>&gt; <br>&gt; <br>&gt; ------------------------------<br>&gt; <br>&gt; Message: 3<br>&gt; Date: Tue, 26 Jul 2011 19:25:14 -0500<br>&gt; From: Jim Manico &lt;<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt;<br>&gt; Subject: Re: [Esapi-user] .NET and Java WAF<br>&gt; To: Christian Heinrich &lt;<a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a>&gt;<br>&gt; Cc: ESAPI-Developers &lt;<a href="mailto:esapi-dev@lists.owasp.org">esapi-dev@lists.owasp.org</a>&gt;, ESAPI-Users<br>&gt; &lt;<a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a>&gt;, Global Projects Committee<br>&gt; &lt;<a href="mailto:global-projects-committee@lists.owasp.org">global-projects-committee@lists.owasp.org</a>&gt;<br>&gt; Message-ID: &lt;-2981349937657456396@unknownmsgid&gt;<br>&gt; Content-Type: text/plain; charset=ISO-8859-1<br>&gt; <br>&gt; I totally support splitting the ESAPI WAF into a brand new project. Go<br>&gt; for it - and great work!<br>&gt; <br>&gt; - Jim Manico<br>&gt; <br>&gt; On Jul 26, 2011, at 7:23 PM, Christian Heinrich<br>&gt; &lt;<a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a>&gt; wrote:<br>&gt; <br>&gt; &gt; GPC,<br>&gt; &gt;<br>&gt; &gt; Please consider this notice that &quot;we&quot; intend to escalate for<br>&gt; &gt; recognition as an OWASP Project by the GPC shortly after BlackHat and<br>&gt; &gt; DefCon.<br>&gt; &gt;<br>&gt; &gt; Hence I have CC ESAPI Mailing List for discussion in the interim until<br>&gt; &gt; the @<a href="http://owasp.org">owasp.org</a> Mailing Lists are created.<br>&gt; &gt;<br>&gt; &gt; Juan, Ryan, Jason and Jason have been BCC.<br>&gt; &gt;<br>&gt; &gt; ---------- Forwarded message ----------<br>&gt; &gt; From: Christian Heinrich &lt;<a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a>&gt;<br>&gt; &gt; Date: Tue, Jul 26, 2011 at 8:33 AM<br>&gt; &gt; Subject: Re: [Esapi-user] WAF 2.0? alpha on repository<br>&gt; &gt; To: &quot;Calderon, Juan Carlos (GE, Corporate, consultant)&quot; &lt;<a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a>&gt;<br>&gt; &gt; Cc: Jim Manico &lt;<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt;, Ryan Barnett &lt;<a href="mailto:ryan.barnett@owasp.org">ryan.barnett@owasp.org</a>&gt;<br>&gt; &gt;<br>&gt; &gt;<br>&gt; &gt; Juan,<br>&gt; &gt;<br>&gt; &gt; On Tue, Jul 26, 2011 at 6:02 AM, Calderon, Juan Carlos (GE, Corporate,<br>&gt; &gt; consultant) &lt;<a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a>&gt; wrote:<br>&gt; &gt;&gt; What do you mean closing this off? Having it ready or defining is an<br>&gt; &gt;&gt; OWASP project?<br>&gt; &gt;<br>&gt; &gt; I was referring too having it listed as an OWASP Project, such as an<br>&gt; &gt; associated mailing list, etc.<br>&gt; &gt;<br>&gt; &gt; On Tue, Jul 26, 2011 at 6:02 AM, Calderon, Juan Carlos (GE, Corporate,<br>&gt; &gt; consultant) &lt;<a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a>&gt; wrote:<br>&gt; &gt;&gt; Just as a small update, Aldo Salas a certified Java developer is helping<br>&gt; &gt;&gt; me out to finish this project, we have a progress meeting this Thursday,<br>&gt; &gt;&gt; also I sent a paper proposal to OWASP LATAM to present a course on<br>&gt; &gt;&gt; Mod_security for Java this October (that is it should be well tested and<br>&gt; &gt;&gt; finished by then) :)<br>&gt; &gt;<br>&gt; &gt; I can note this milestone in the Project Plan - I will list it for<br>&gt; &gt; November to account for the unlikely event that the deadline slips or<br>&gt; &gt; to demonstrate that we ship it earlier then expected :)<br>&gt; &gt;<br>&gt; &gt;<br>&gt; &gt; --<br>&gt; &gt; Regards,<br>&gt; &gt; Christian Heinrich<br>&gt; &gt; <a href="http://www.owasp.org/index.php/user:cmlh">http://www.owasp.org/index.php/user:cmlh</a><br>&gt; <br>&gt; <br>&gt; ------------------------------<br>&gt; <br>&gt; Message: 4<br>&gt; Date: Tue, 26 Jul 2011 21:39:10 -0400<br>&gt; From: &quot;Kevin W. Wall&quot; &lt;<a href="mailto:kevin.w.wall@gmail.com">kevin.w.wall@gmail.com</a>&gt;<br>&gt; Subject: Re: [Esapi-user] [Esapi-dev] .NET and Java WAF<br>&gt; To: Jim Manico &lt;<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt;<br>&gt; Cc: ESAPI-Developers &lt;<a href="mailto:esapi-dev@lists.owasp.org">esapi-dev@lists.owasp.org</a>&gt;, ESAPI-Users<br>&gt; &lt;<a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a>&gt;, Global Projects Committee<br>&gt; &lt;<a href="mailto:global-projects-committee@lists.owasp.org">global-projects-committee@lists.owasp.org</a>&gt;<br>&gt; Message-ID:<br>&gt; &lt;<a href="mailto:CAOPE6Ph85Po+9Qs6d96GzYg4=5j5sYXQOU7JFEpJgF+o8iX_dg@mail.gmail.com">CAOPE6Ph85Po+9Qs6d96GzYg4=5j5sYXQOU7JFEpJgF+o8iX_dg@mail.gmail.com</a>&gt;<br>&gt; Content-Type: text/plain; charset=ISO-8859-1<br>&gt; <br>&gt; On Tue, Jul 26, 2011 at 8:25 PM, Jim Manico &lt;<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt; wrote:<br>&gt; &gt; I totally support splitting the ESAPI WAF into a brand new project. Go<br>&gt; &gt; for it - and great work!<br>&gt; <br>&gt; Christian,<br>&gt; <br>&gt; I concur. However, please do keep us in the loop, especially if you make<br>&gt; any changes that would affect out it is used in ESAPI. I think that we would<br>&gt; like to keep it as an option there and also be able to drop in your latest<br>&gt; version.<br>&gt; <br>&gt; Thanks,<br>&gt; -kevin<br>&gt; -- <br>&gt; Blog: <a href="http://off-the-wall-security.blogspot.com/">http://off-the-wall-security.blogspot.com/</a><br>&gt; &quot;The most likely way for the world to be destroyed, most experts agree,<br>&gt; is by accident. That's where we come in; we're computer professionals.<br>&gt; We *cause* accidents.&quot; ? ? ? ?-- Nathaniel Borenstein<br>&gt; <br>&gt; <br>&gt; ------------------------------<br>&gt; <br>&gt; Message: 5<br>&gt; Date: Tue, 26 Jul 2011 21:51:42 -0400<br>&gt; From: Jason Li &lt;<a href="mailto:jason.li@owasp.org">jason.li@owasp.org</a>&gt;<br>&gt; Subject: Re: [Esapi-user] [GPC] Fwd: .NET and Java WAF<br>&gt; To: Christian Heinrich &lt;<a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a>&gt;<br>&gt; Cc: ESAPI-Developers &lt;<a href="mailto:esapi-dev@lists.owasp.org">esapi-dev@lists.owasp.org</a>&gt;, ESAPI-Users<br>&gt; &lt;<a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a>&gt;, Global Projects Committee<br>&gt; &lt;<a href="mailto:global-projects-committee@lists.owasp.org">global-projects-committee@lists.owasp.org</a>&gt;<br>&gt; Message-ID:<br>&gt; &lt;<a href="mailto:CAPfGuxawWMudERxnbN+-LfKZQ1tMfhUVs69fs9ntWkjHOiNPjg@mail.gmail.com">CAPfGuxawWMudERxnbN+-LfKZQ1tMfhUVs69fs9ntWkjHOiNPjg@mail.gmail.com</a>&gt;<br>&gt; Content-Type: text/plain; charset=ISO-8859-1<br>&gt; <br>&gt; Christian,<br>&gt; <br>&gt; There's no need to &quot;escalate&quot; for recognition.<br>&gt; <br>&gt; Any idea can always be submitted to the GPC and they will be processed<br>&gt; by Paulo Coimbra like all other requests.<br>&gt; <br>&gt; I would encourage the group to read the wiki article on starting an<br>&gt; OWASP project (<a href="https://www.owasp.org/index.php/How_to_Start_an_OWASP_Project">https://www.owasp.org/index.php/How_to_Start_an_OWASP_Project</a>)<br>&gt; and ensure that the group submits the necessary information.<br>&gt; <br>&gt; -Jason<br>&gt; <br>&gt; On Tue, Jul 26, 2011 at 8:23 PM, Christian Heinrich<br>&gt; &lt;<a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a>&gt; wrote:<br>&gt; &gt; GPC,<br>&gt; &gt;<br>&gt; &gt; Please consider this notice that &quot;we&quot; intend to escalate for<br>&gt; &gt; recognition as an OWASP Project by the GPC shortly after BlackHat and<br>&gt; &gt; DefCon.<br>&gt; &gt;<br>&gt; &gt; Hence I have CC ESAPI Mailing List for discussion in the interim until<br>&gt; &gt; the @<a href="http://owasp.org">owasp.org</a> Mailing Lists are created.<br>&gt; &gt;<br>&gt; &gt; Juan, Ryan, Jason and Jason have been BCC.<br>&gt; &gt;<br>&gt; &gt; ---------- Forwarded message ----------<br>&gt; &gt; From: Christian Heinrich &lt;<a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a>&gt;<br>&gt; &gt; Date: Tue, Jul 26, 2011 at 8:33 AM<br>&gt; &gt; Subject: Re: [Esapi-user] WAF 2.0? alpha on repository<br>&gt; &gt; To: &quot;Calderon, Juan Carlos (GE, Corporate, consultant)&quot; &lt;<a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a>&gt;<br>&gt; &gt; Cc: Jim Manico &lt;<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt;, Ryan Barnett &lt;<a href="mailto:ryan.barnett@owasp.org">ryan.barnett@owasp.org</a>&gt;<br>&gt; &gt;<br>&gt; &gt;<br>&gt; &gt; Juan,<br>&gt; &gt;<br>&gt; &gt; On Tue, Jul 26, 2011 at 6:02 AM, Calderon, Juan Carlos (GE, Corporate,<br>&gt; &gt; consultant) &lt;<a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a>&gt; wrote:<br>&gt; &gt;&gt; What do you mean closing this off? Having it ready or defining is an<br>&gt; &gt;&gt; OWASP project?<br>&gt; &gt;<br>&gt; &gt; I was referring too having it listed as an OWASP Project, such as an<br>&gt; &gt; associated mailing list, etc.<br>&gt; &gt;<br>&gt; &gt; On Tue, Jul 26, 2011 at 6:02 AM, Calderon, Juan Carlos (GE, Corporate,<br>&gt; &gt; consultant) &lt;<a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a>&gt; wrote:<br>&gt; &gt;&gt; Just as a small update, Aldo Salas a certified Java developer is helping<br>&gt; &gt;&gt; me out to finish this project, we have a progress meeting this Thursday,<br>&gt; &gt;&gt; also I sent a paper proposal to OWASP LATAM to present a course on<br>&gt; &gt;&gt; Mod_security for Java this October (that is it should be well tested and<br>&gt; &gt;&gt; finished by then) :)<br>&gt; &gt;<br>&gt; &gt; I can note this milestone in the Project Plan - I will list it for<br>&gt; &gt; November to account for the unlikely event that the deadline slips or<br>&gt; &gt; to demonstrate that we ship it earlier then expected :)<br>&gt; &gt;<br>&gt; &gt;<br>&gt; &gt; --<br>&gt; &gt; Regards,<br>&gt; &gt; Christian Heinrich<br>&gt; &gt; <a href="http://www.owasp.org/index.php/user:cmlh">http://www.owasp.org/index.php/user:cmlh</a><br>&gt; &gt; _______________________________________________<br>&gt; &gt; Global-projects-committee mailing list<br>&gt; &gt; <a href="mailto:Global-projects-committee@lists.owasp.org">Global-projects-committee@lists.owasp.org</a><br>&gt; &gt; <a href="https://lists.owasp.org/mailman/listinfo/global-projects-committee">https://lists.owasp.org/mailman/listinfo/global-projects-committee</a><br>&gt; &gt;<br>&gt; <br>&gt; <br>&gt; ------------------------------<br>&gt; <br>&gt; Message: 6<br>&gt; Date: Tue, 26 Jul 2011 19:48:57 -0700 (PDT)<br>&gt; From: &quot;Normando Macaraeg&quot; &lt;<a href="mailto:nmacaraeg@jaspersoft.com">nmacaraeg@jaspersoft.com</a>&gt;<br>&gt; Subject: [Esapi-user] using SafeRequest<br>&gt; To: &lt;<a href="mailto:esapi-user@lists.owasp.org">esapi-user@lists.owasp.org</a>&gt;<br>&gt; Message-ID: &lt;00a501cc4c07$c49f5480$4dddfd80$@com&gt;<br>&gt; Content-Type: text/plain; charset=&quot;us-ascii&quot;<br>&gt; <br>&gt; Hi,<br>&gt; <br>&gt; Using the ESAPI Book as my guide, it looks like when I find code that<br>&gt; looks like: <br>&gt; <br>&gt; HttpSession session = request.getSession(); // unsafe session<br>&gt; <br>&gt; I should change the code to this:<br>&gt; <br>&gt; HttpSession session = new SafeRequest( request ).getSession(); // safe<br>&gt; session<br>&gt; <br>&gt; But the book says this works only if I enable the ESAPIFilter. How do I<br>&gt; enable the ESAPIFilter?<br>&gt; <br>&gt; -Norm<br>&gt; <br>&gt; <br>&gt; ------------------------------<br>&gt; <br>&gt; Message: 7<br>&gt; Date: Tue, 26 Jul 2011 23:32:01 -0400<br>&gt; From: &quot;Kevin W. Wall&quot; &lt;<a href="mailto:kevin.w.wall@gmail.com">kevin.w.wall@gmail.com</a>&gt;<br>&gt; Subject: Re: [Esapi-user] using SafeRequest<br>&gt; To: Normando Macaraeg &lt;<a href="mailto:nmacaraeg@jaspersoft.com">nmacaraeg@jaspersoft.com</a>&gt;<br>&gt; Cc: <a href="mailto:esapi-user@lists.owasp.org">esapi-user@lists.owasp.org</a><br>&gt; Message-ID:<br>&gt; &lt;<a href="mailto:CAOPE6Pj3joRXWCo8bJY+BJPDy9Z_om-AZDkokumJEiSFganNPQ@mail.gmail.com">CAOPE6Pj3joRXWCo8bJY+BJPDy9Z_om-AZDkokumJEiSFganNPQ@mail.gmail.com</a>&gt;<br>&gt; Content-Type: text/plain; charset=ISO-8859-1<br>&gt; <br>&gt; On Tue, Jul 26, 2011 at 10:48 PM, Normando Macaraeg<br>&gt; &lt;<a href="mailto:nmacaraeg@jaspersoft.com">nmacaraeg@jaspersoft.com</a>&gt; wrote:<br>&gt; &gt; Hi,<br>&gt; &gt;<br>&gt; &gt; Using the ESAPI Book as my guide, it looks like when I find code that<br>&gt; &gt; looks like:<br>&gt; &gt;<br>&gt; &gt; HttpSession session = request.getSession(); // unsafe session<br>&gt; &gt;<br>&gt; &gt; I should change the code to this:<br>&gt; &gt;<br>&gt; &gt; HttpSession session = new SafeRequest( request ).getSession(); // safe<br>&gt; &gt; session<br>&gt; &gt;<br>&gt; &gt; But the book says this works only if I enable the ESAPIFilter. How do I<br>&gt; &gt; enable the ESAPIFilter?<br>&gt; <br>&gt; You configure it just like any other Java Servlet filter.<br>&gt; In your WEB-INF/web.xml file, you would do something like<br>&gt; this:<br>&gt; <br>&gt; &lt;web-app id=&quot;myWebApp&quot;&gt;<br>&gt; ...<br>&gt; &lt;filter&gt;<br>&gt; &lt;filter-name&gt;ESAPI-Filter&lt;/filter-name&gt;<br>&gt; &lt;filter-class&gt;org.owasp.esapi.filters.ESAPIFilter&lt;/filter-class&gt;<br>&gt; &lt;!-- Note: Not sure it has any parameters. Check the<br>&gt; sourc code or ask Jeff Williams. I don't have time<br>&gt; right now. However, this is how you specify<br>&gt; parameters. You can have more than one init-param<br>&gt; section. --&gt;<br>&gt; &lt;init-param&gt;<br>&gt; &lt;param-name&gt;greetings&lt;/param-name&gt;<br>&gt; &lt;param-value&gt;Hello, World&lt;/param-value&gt;<br>&gt; &lt;/init-param&gt;<br>&gt; &lt;/filter&gt;<br>&gt; <br>&gt; &lt;filter-mapping&gt;<br>&gt; &lt;filter-name&gt;ESAPI-Filter&lt;/filter-name&gt;<br>&gt; &lt;url-pattern&gt;/images/*&lt;/url-pattern&gt;<br>&gt; &lt;/filter-mapping&gt;<br>&gt; &lt;/filter&gt;<br>&gt; ...<br>&gt; &lt;/web-app&gt;<br>&gt; <br>&gt; The exact syntax may be slightly different depending on what<br>&gt; Servlet Spec your JavaEE / servlet container adheres to. Shown<br>&gt; above is for Servlet Spec 2.4.<br>&gt; <br>&gt; -kevin<br>&gt; --<br>&gt; Blog: <a href="http://off-the-wall-security.blogspot.com/">http://off-the-wall-security.blogspot.com/</a><br>&gt; &quot;The most likely way for the world to be destroyed, most experts agree,<br>&gt; is by accident. That's where we come in; we're computer professionals.<br>&gt; We *cause* accidents.&quot; -- Nathaniel Borenstein<br>&gt; <br>&gt; <br>&gt; ------------------------------<br>&gt; <br>&gt; Message: 8<br>&gt; Date: Wed, 27 Jul 2011 16:54:00 +1000<br>&gt; From: Christian Heinrich &lt;<a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a>&gt;<br>&gt; Subject: Re: [Esapi-user] [Esapi-dev] .NET and Java WAF<br>&gt; To: &quot;Kevin W. Wall&quot; &lt;<a href="mailto:kevin.w.wall@gmail.com">kevin.w.wall@gmail.com</a>&gt;<br>&gt; Cc: ESAPI-Developers &lt;<a href="mailto:esapi-dev@lists.owasp.org">esapi-dev@lists.owasp.org</a>&gt;, ESAPI-Users<br>&gt; &lt;<a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a>&gt;<br>&gt; Message-ID:<br>&gt; &lt;<a href="mailto:CAFCvB5Lq+GHVgySp+Z0do4x0w4RdN1YF1wy5Bbk4PrXLeQcK6A@mail.gmail.com">CAFCvB5Lq+GHVgySp+Z0do4x0w4RdN1YF1wy5Bbk4PrXLeQcK6A@mail.gmail.com</a>&gt;<br>&gt; Content-Type: text/plain; charset=ISO-8859-1<br>&gt; <br>&gt; Kevin,<br>&gt; <br>&gt; I have dropped the GPC for the moment from this discussion.<br>&gt; <br>&gt; On Wed, Jul 27, 2011 at 11:39 AM, Kevin W. Wall &lt;<a href="mailto:kevin.w.wall@gmail.com">kevin.w.wall@gmail.com</a>&gt; wrote:<br>&gt; &gt; I concur. However, please do keep us in the loop, especially if you make<br>&gt; &gt; any changes that would affect out it is used in ESAPI. I think that we would<br>&gt; &gt; like to keep it as an option there and also be able to drop in your latest<br>&gt; &gt; version.<br>&gt; <br>&gt; I can create a dependency in the Project Plan for this and a SVN tag<br>&gt; for the attention of EASPI Java.<br>&gt; <br>&gt; For your reference, Juan's import from ESAPI Java was<br>&gt; <a href="http://code.google.com/p/owasp-java-waf/source/detail?r=2">http://code.google.com/p/owasp-java-waf/source/detail?r=2</a><br>&gt; <br>&gt; <br>&gt; -- <br>&gt; Regards,<br>&gt; Christian Heinrich<br>&gt; <a href="http://www.owasp.org/index.php/user:cmlh">http://www.owasp.org/index.php/user:cmlh</a><br>&gt; <br>&gt; <br>&gt; ------------------------------<br>&gt; <br>&gt; _______________________________________________<br>&gt; Esapi-user mailing list<br>&gt; <a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a><br>&gt; <a href="https://lists.owasp.org/mailman/listinfo/esapi-user">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>&gt; <br>&gt; <br>&gt; End of Esapi-user Digest, Vol 20, Issue 12<br>&gt; ******************************************<o:p></o:p></p></div></div></div></blockquote><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>_______________________________________________<br>Esapi-user mailing list<br><a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/esapi-user">https://lists.owasp.org/mailman/listinfo/esapi-user</a><o:p></o:p></p></div></blockquote></div></blockquote><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>_______________________________________________<br>Esapi-user mailing list<br><a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/esapi-user">https://lists.owasp.org/mailman/listinfo/esapi-user</a><o:p></o:p></p></div></blockquote></div></blockquote></div></div></blockquote></div></body></html>