<div dir="ltr">I need to make some changes to the ESAPI build to accomodate all this, so that is my first priority wrt to releasing. On that note, if you know a *good* devops or build/release person looking for a place to put some volunteer hours I could keep them busy for a good bit doing th github migration and getting our cloudbees infrastructure up to par.</div>
<div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Jun 30, 2014 at 9:04 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Chris,</div><div><br></div><div>Thank you for helping and no pressure on time. If you want help or want to pass these duties to me, I will endeavor to complain less and help more.</div>

<div><br></div><div>I appreciate your •volunteerism• here and am sorry for losing track of that.</div><div><br></div><div>Aloha,</div><div class=""><div><div>--</div><div>Jim Manico</div><div>@Manicode</div><div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div>
</div>
</div><div><div class="h5"><div><br>On Jul 1, 2014, at 10:35 AM, Chris Schmidt <<a href="mailto:chrisisbeef@gmail.com" target="_blank">chrisisbeef@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div><p dir="ltr">
We can push a zip a binary jar and a jar with just configs which is what I had planned. I am slammed with work right now but plan to try and get this out on weds night if there are no objections. </p>

<div class="gmail_quote">On Jun 29, 2014 11:33 PM, "Jim Manico" <<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div dir="auto"><div>Chris,</div><div><br></div><div>Are doing the full zip release with all the config files, or just the jar release? Can we even push a zip to Maven central?<br>
<br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div></div><div><br>On Jun 30, 2014, at 12:29 PM, Chris Schmidt <<a href="mailto:chrisisbeef@gmail.com" target="_blank">chrisisbeef@gmail.com</a>> wrote:<br>



<br></div><blockquote type="cite"><div><div dir="ltr">All - WRT to hosting the files, we will release 2.1.1 to Maven Central and point people to the download link there for downloading directly to keep it simple. I will do a release this week. </div>



<div class="gmail_extra">
<br><br><div class="gmail_quote">On Sun, Jun 29, 2014 at 9:39 PM, Kevin W. Wall <span dir="ltr"><<a href="mailto:kevin.w.wall@gmail.com" target="_blank">kevin.w.wall@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">




<div dir="ltr"><div class="gmail_extra">On Sun, Jun 29, 2014 at 9:47 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><div class="gmail_quote">






<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div class="gmail_default" style="font-family:courier new,monospace;display:inline">






​[snip]​</div><div>
<div><br></div><div>I am upset that the ESAPI team "blew off" this "poor CSRF token entropy" finding in 2011 when I was asked not to report Rook's finding even when his results were repeatable. It led to me leaving the project at the time. This is not just you, it was a group decision that I disagreed with. I did wait two years before disclosure and I'm glad to see it fixed.</div>






</div></div></blockquote><div class="gmail_default" style="font-family:courier new,monospace">​<br>Either I'm missing something, I'm more forgetful than I realize,<br>or I need some clarification.​  First of all, the first that I'm<br>





seeing of this was some email that Jim forwarded from me that<br>came from David Rook back on Feb 21, 2012, not 2011.  Did he<br>actually discover this earlier?<br><br></div><div class="gmail_default" style="font-family:courier new,monospace">





Second of all, I never recall anyone saying that we shouldn't<br></div><div class="gmail_default" style="font-family:courier new,monospace">report this as a Google Issue. I do recall that several of us<br>wanted to better understand what was causing the unintuitive<br>





</div><div class="gmail_default" style="font-family:courier new,monospace">Burp Sequencer results and there was a LOT of theories regarding<br>the explanation, but I personally don't recall anyone trying to<br>sweep in under the table. In fact as the years went by, I had<br>





</div><div class="gmail_default" style="font-family:courier new,monospace">just assumed that their was a Google issue opened on it. I'm<br>surprised now to see that Jim opened issue 323 only back in<br>April of this year.<br>





<br></div><div class="gmail_default" style="font-family:courier new,monospace">I personally had spent some time trying to get to the bottom<br></div><div class="gmail_default" style="font-family:courier new,monospace">up it and come up with and explanation of the Burp Sequencer<br>





</div><div class="gmail_default" style="font-family:courier new,monospace">results, but I gave up when I couldn't find a root cause. The<br>only thing that I did convince myself off was that it didn't<br>have anything at all to do with not reseeding SecureRandom.<br>





</div><div class="gmail_default" style="font-family:courier new,monospace">(Note: Don't take that as a fact that I'm in support of the<br></div><div class="gmail_default" style="font-family:courier new,monospace">





use of DefaultRandomizer as a singleton or that we never<br>reseed it; I'm just stating that there was no way and no how<br>that we would ever seen any bias such as we observed with the<br></div><div class="gmail_default" style="font-family:courier new,monospace">





Burp Sequencer tests that David Rook ran in only 20k tokens.)<br><br></div><div class="gmail_default" style="font-family:courier new,monospace">And truthfully, since the ESAPI crypto didn't use ESAPI Randomizer<br>and I wasn't convinced that it wasn't specifically a crypto<br>





</div><div class="gmail_default" style="font-family:courier new,monospace">related problem, I lost interest and got involved with other<br>OWASP projects during GSoC and work on the Dev Guide.<br><br></div><div class="gmail_default" style="font-family:courier new,monospace">





So we all stand equally guilty to the OWASP community. Let's<br>get past that and come together and get it resolved.<br><br></div><div class="gmail_default" style="font-family:courier new,monospace">First off is, Jeff has submitted a fix for this. Are we all in<br>





agreement that foxes the root cause of this observed poor<br>results in the Burp Sequencer tests that David Rook first<br>made us aware of?<br><br></div><div class="gmail_default" style="font-family:courier new,monospace">





If we are all in agreement to that, how do we want to proceed?<br></div><div class="gmail_default" style="font-family:courier new,monospace"><br></div><div class="gmail_default" style="font-family:courier new,monospace">




Obviously a new version (2.1.1 or 2.1.0.1) would be the next in<br>
</div><div class="gmail_default" style="font-family:courier new,monospace">line. Do we wish to include anything else in this new release?<br></div><div class="gmail_default" style="font-family:courier new,monospace">Who will help out with it? Where should we host the new release<br>





</div><div class="gmail_default" style="font-family:courier new,monospace">(besides Maven Central)? Should we have a CVE that we create for<br>this?<br><br></div><div class="gmail_default" style="font-family:courier new,monospace">





Personally, I would like us to work together to do what's best<br>for the community of ESAPI users and most of all for the OWASP<br></div><div class="gmail_default" style="font-family:courier new,monospace">reputation, and we are NOT clearing doing now.<br>





<br></div><div class="gmail_default" style="font-family:courier new,monospace">If a few of you wish to vent your frustrations / feelings, I<br></div><div class="gmail_default" style="font-family:courier new,monospace">think that that should be done on a personal level, and not<br>





</div><div class="gmail_default" style="font-family:courier new,monospace">in public here. When I was being brought up, I was taught that<br>you praise in public and admonish in private and I still think<br>that's pretty good advice.<br>





<br></div><div class="gmail_default" style="font-family:courier new,monospace">Maybe I'm sticking my neck in where it doesn't belong, but I'm<br>trying to be a peace maker here for the could of the OWASP<br>community and all this sniping is not helping. I know that,<br>





you both know that, and everyone that is on these ESAPI<br>lists knows that as well.<br><br></div><div class="gmail_default" style="font-family:courier new,monospace">So let's please act respectfully to each other...at least in<br>





public so as not to further sully OWASP brand.<br><br></div><div class="gmail_default" style="font-family:courier new,monospace">And if you want to flame me in person, that's fine. But if<br>you wish to do it in public, let's please keep it civil, polite,<br>





and respectful and treat others like you would like to be treated.<br><br></div><div class="gmail_default" style="font-family:courier new,monospace">That's all I have to say. Thanks for listening.<span><font color="#888888"><br>




<br></font></span></div><span><font color="#888888"><div class="gmail_default" style="font-family:courier new,monospace">
-kevin<br></div></font></span></div></div></div>
<br>_______________________________________________<br>
Esapi-user mailing list<br>
<a href="mailto:Esapi-user@lists.owasp.org" target="_blank">Esapi-user@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br>Chris Schmidt<br><br>OWASP ESAPI Developer<br><a href="http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API</a><br>




<br>Check out OWASP ESAPI for Java<br><a href="http://code.google.com/p/owasp-esapi-java/" target="_blank">http://code.google.com/p/owasp-esapi-java/</a><br><br>OWASP ESAPI for JavaScript<br><a href="http://code.google.com/p/owasp-esapi-js/" target="_blank">http://code.google.com/p/owasp-esapi-js/</a><br>




<br>Yet Another Developers Blog<br><a href="http://yet-another-dev.blogspot.com" target="_blank">http://yet-another-dev.blogspot.com</a><br><br>Bio and Resume<br><a href="http://www.digital-ritual.net/resume.html" target="_blank">http://www.digital-ritual.net/resume.html</a><br>





</div>
</div></blockquote></div>
</blockquote></div>
</div></blockquote></div></div></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>Chris Schmidt<br><br>OWASP ESAPI Developer<br><a href="http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API">http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API</a><br>
<br>Check out OWASP ESAPI for Java<br><a href="http://code.google.com/p/owasp-esapi-java/">http://code.google.com/p/owasp-esapi-java/</a><br><br>OWASP ESAPI for JavaScript<br><a href="http://code.google.com/p/owasp-esapi-js/">http://code.google.com/p/owasp-esapi-js/</a><br>
<br>Yet Another Developers Blog<br><a href="http://yet-another-dev.blogspot.com">http://yet-another-dev.blogspot.com</a><br><br>Bio and Resume<br><a href="http://www.digital-ritual.net/resume.html">http://www.digital-ritual.net/resume.html</a><br>

</div>