<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
  <title></title>
</head>
<body bgcolor="#ffffff" text="#000000">
Min Chen wrote:<br>
<blockquote cite="mid856078.72684.qm@web58707.mail.re1.yahoo.com"
 type="cite">
  <style type="text/css"><!-- DIV {margin:0px;} --></style>
  <div
 style="font-family: times new roman,new york,times,serif; font-size: 12pt;">
  <table align="center" cellpadding="0" cellspacing="0" width="100%">
    <tbody>
      <tr>
        <td bgcolor="#ffffff" valign="top">
        <table align="center" cellpadding="0" cellspacing="0"
 width="100%">
          <tbody>
            <tr>
              <td width="10"> <br>
              </td>
              <td valign="top">
              <table cellpadding="0" cellspacing="0" width="100%">
                <tbody>
                  <tr>
                    <td height="10"> <br>
                    </td>
                  </tr>
                  <tr>
                    <td><font
 style="font-family: Verdana,Arial,sans-serif; font-size: 13px; color: rgb(123, 0, 153);"
 color="#7b0099" face="Verdana,Arial,sans-serif" size="2">
                    <div style="">
                    <div
 style="font-family: times new roman,new york,times,serif; font-size: 12pt;">Hi
All,<br>
                    <br>
This is a good start. The algorithm, design, and the tool are in good
shape. Well done Andrew.<br>
                    <br>
It's not uncommon to change the design or requirement during the
implementation phase, it would be nice to update the project
requirement to reflect the real implementation.<br>
                    <br>
Thanks,<br>
~Min<br>
                    <br>
                    <div
 style="font-family: times new roman,new york,times,serif; font-size: 12pt;">-----
Original Message ----<br>
From: Andrew Petukhov <a class="moz-txt-link-rfc2396E" href="mailto:petand@lvk.cs.msu.su">&lt;petand@lvk.cs.msu.su&gt;</a><br>
To: Min Chen <a class="moz-txt-link-rfc2396E" href="mailto:mg_chen@yahoo.com">&lt;mg_chen@yahoo.com&gt;</a><br>
Cc: <a class="moz-txt-link-abbreviated" href="mailto:owasp-access-control-rules-tester-project@lists.owasp.org">owasp-access-control-rules-tester-project@lists.owasp.org</a><br>
Sent: Wednesday, October 8, 2008 12:16:23 PM<br>
Subject: Re: Access Control Rules Tester review<br>
                    <br>
                    <title></title>
Min Chen wrote:<br>
                    <blockquote type="cite">
                      <pre>Two things seem missing:

1. The document does not clearly answer "Is it possible to build precise access control matrix for a web application and how"

2. I can't find Rhino library or source code in the tool, did I miss somthing?

Thanks,
~Min



      
  </pre>
                    </blockquote>
1. The model, which I utilize is built on the concept of resource.
Resource is URI, and actions are read (GET) and execute/write (POST).<br>
This scope of view is induced from the black box testing requirement. <br>
In this terms, the access control matrix in CURRENT web application
state is the mapping USER * URI * {GET, POST} -&gt; {allow, deny}<br>
Of course, this matrix can change.<br>
My document gives procedures how to record use case dependency graph
for a group of users (one user per role). <br>
But in the terms stated above these recordings form a sequence of the
access control matrices <i>perceived</i> by users. <br>
The question is - how to obtain the sequence of <i>real </i>access
control matrices? The answer is:<br>
- union all perceived matrices;<br>
- probe for all resources from current user at current state.<br>
My tool gives in the report the set of resources that are included in
the <i>real </i>access matrix that are not contained in the <i>percieved
                    </i>access matrix.<br>
                    <br>
Do I speak clear? <br>
Maybe I should add this remarks at the end of my formal document?<br>
                    <br>
2. Rhino. This was intended as a JavaScript processing part of web
spider that I was going to develop. Initially, I was going to include
web spider as a part of my tool. However, the spider part appeared to
be too complex. As a result a combination of <b>existing </b>tools
was chosen that is able to perform the Sitemap generation according to
the developed method. Thus, the Spider module <b>was not</b>
developed: it saved time and effort, and another Spider-clone with the
same functionality was not set free. However, AJAX and Javascript web
application still require manual navigation (if they contain resource
that are not accessible via static links). The development of
fully-enabled Javascript spider appeared to be a significant work.
However, the initial P022 proposal did not contain the strict
requirement for a spider:
                    <a rel="nofollow" class="moz-txt-link-freetext"
 target="_blank"
 href="http://www.owasp.org/index.php/OWASP_Request_for_Proposal_List#P022_-_OWASP_Access_Control_Rules_Tester">http://www.owasp.org/index.php/OWASP_Request_for_Proposal_List#P022_-_OWASP_Access_Control_Rules_Tester</a><br>
                    <br>
After my experience, I would say that AcCoRuTe should not be integrated
with the spider. But, the javascript-enabled spider should be developed
instead of Burp Spider currently in use.<br>
                    <br>
                    <br>
Andrew<br>
                    <br>
                    </div>
                    </div>
                    </div>
                    </font></td>
                  </tr>
                  <tr>
                    <td height="10"> <br>
                    </td>
                  </tr>
                </tbody>
              </table>
              </td>
              <td align="right" valign="bottom" width="135"><img
 src="cid:part1.06040301.06070005@lvk.cs.msu.su" alt="" border="0"
 height="250" width="125"></td>
            </tr>
          </tbody>
        </table>
        </td>
      </tr>
    </tbody>
  </table>
  </div>
  <br>
</blockquote>
Hi all! Thanks, Min.<br>
I am very glad to hear these words from you. The biggest problem now is
where to place an about box in the command line tool :)<br>
And it is a perfect suggestion to add XSD tool to the project.<br>
Regarding elaborating use cases and constructing a dependency graph...
I thought about the complexity of this stage. For now, the best idea
that I have is to include a number of case studies (or name it best
practices) of web applications in different domains (i.e. distance
learning, HR, banking, online shopping, blogging). I had another idea
to utilize UML somehow, but i have not precise vision of it at this
time.<br>
<br>
There is also an objective defect in my documents - the way I express
my thoughts. English is not my native language and it is possible that
some parts of my documents look obfuscated. So maybe you have marked
some sections in the documents that require revisioning (maybe rephrase
them with the help of native speakers)? <br>
<br>
Regards,<br>
Andrew<br>
</body>
</html>