<HTML>
<HEAD>
<TITLE>FW: Moderators</TITLE>
</HEAD>
<BODY>
<FONT FACE="Verdana, Helvetica, Arial"><SPAN STYLE='font-size:12.0px'>Hi folks,<BR>
<BR>
What do you want to do?<BR>
<BR>
My personal preference is to move to OWASP and try to re-grow from there. I don’t think we grow the OWASP brand at SF. The eyeballs have moved to WASC’s list, not SF’s, and certainly not ours. <BR>
<BR>
Thoughts?<BR>
<BR>
Thanks,<BR>
Andrew<BR>
<BR>
------ Forwarded Message<BR>
<B>From: </B>Andrew van der Stock <vanderaj@greebo.net><BR>
<B>Date: </B>Mon, 12 Mar 2007 14:13:35 -0400<BR>
<B>To: </B>Andrew van der Stock <vanderaj@owasp.org><BR>
<B>Subject: </B>Fwd: Moderators<BR>
<BR>
<BR>
<BR>
Begin forwarded message:<BR>
<BR>
</SPAN></FONT><BLOCKQUOTE><FONT SIZE="4"><FONT FACE="Helvetica, Verdana, Arial"><SPAN STYLE='font-size:14.0px'><B>From: </B>Alfred Huger <alfred_huger@symantec.com><BR>
<B>Date: </B>March 12, 2007 1:24:40 PM EDT<BR>
<B>To: </B>Andrew Van Der Stock <vanderaj@greebo.net><BR>
<B>Cc: </B>Jeff Williams <jeff.williams@owasp.org>, Dave Wichers <dave.wichers@owasp.org>, <dinis.cruz@owasp.org><BR>
<B>Subject: Re: Moderators<BR>
</B></SPAN></FONT></FONT><FONT FACE="Verdana, Helvetica, Arial"><SPAN STYLE='font-size:12.0px'><BR>
 <BR>
<BR>
<BR>
Andrew, <BR>
<BR>
First, thanks for spending the time writing such a detailed piece of email,<BR>
it seems to be a day for it. I've been hammered with responses so I will<BR>
keep this brief, not due to lack of concern but rather due to lack of time.<BR>
On the issue of mailing list service, it was horrible. No excuses there,<BR>
it's been fixed. It's going to change more in the future as I am trying to<BR>
find a way to open up SF far more to public control.<BR>
<BR>
As for list ownership, I'll be to the point. The users who sign up to the<BR>
lists here do so trusting SecurityFocus to own the access their information.<BR>
You can always ask your users to move - and that's their choice. However we<BR>
assert that we own access to the email addresses as given to us by our<BR>
community. This aligns with our privacy policy and with our general ethos<BR>
here on how we manage user information. Like I said, you can certainly ask<BR>
people to move but we will not surrender their email addresses. My first<BR>
concern is our user community and you need to think of it in terms of more<BR>
than just your list. Nearly all of the users on your list are cross<BR>
subscribed to other lists here so it's rarely if ever a question of an OWASP<BR>
community issue but rather a larger one of the SF online community.<BR>
<BR>
I'd be happy to help you grow your presence on the SF site and it's list<BR>
traffic or if you would like, you can query the userbase and move it. Likely<BR>
in that case I would bring in another moderator and you would end up with a<BR>
further bi-furcated list. Let me know your preference.<BR>
<BR>
<BR>
<BR>
Cheers,<BR>
-al<BR>
<BR>
<BR>
<BR>
<BR>
---<BR>
<BR>
Alfred Huger   <BR>
Vice President<BR>
Security Response & Security Services<BR>
<BR>
<BR>
 <BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Verdana, Helvetica, Arial"><SPAN STYLE='font-size:12.0px'>From: Andrew van der Stock <vanderaj@greebo.net><BR>
Date: Mon, 12 Mar 2007 12:57:51 -0400<BR>
To: Alfred Huger <alfred_huger@symantec.com><BR>
Cc: Jeff Williams <jeff.williams@owasp.org>, Dave Wichers<BR>
<dave.wichers@owasp.org>, <dinis.cruz@owasp.org><BR>
Subject: Re: Moderators<BR>
<BR>
Alfred,<BR>
<BR>
We created the OWASP webappsec list during the SF spam debacle /<BR>
outages as at a certain point, it couldn't go on. Mark Curphey, as<BR>
OWASP leader, started the webappsec mail list in concert with SF way<BR>
back when OWASP had no infrastructure of its own.<BR>
<BR>
Due to the excessive spam / unreliability / outages, we had made<BR>
plans with the community to move the list to OWASP as we now have<BR>
robust infrastructure which can handle the load. Most of the members<BR>
who replied to the poll message indicated that they wanted it at<BR>
OWASP by a significant margin (around 80%). The other responses were<BR>
webappsec.org (more on that later) at about 20% and SC-L about 2%.<BR>
<BR>
However, that's all moot - at the last possible second, Mark Curphey<BR>
asked for help via a SF back channel (probably a personal contact of<BR>
his) and as history shows, things were quickly fixed. I was literally<BR>
in the process of drafting the "please move to..." e-mail when you<BR>
asked us not to make any changes, but more significantly from our<BR>
perspective, SF rapidly fixed our concerns in one fell swoop -<BR>
something that had taken months and many ignored e-mails. The saddest<BR>
part for me that it was fixed in less than a day when it became<BR>
obvious we were serious about moving, and not before. Although I am<BR>
sorry this became necessary, I hope you can see why we went down that<BR>
path. I can understand why you took me off moderation duties for a<BR>
little while and appreciate being re-appointed.<BR>
<BR>
In the end, I am happy with the subsequent changes SF made to the<BR>
moderators <-> SF interface to make it work much more smoothly, the<BR>
uptime has been good, and the lack of spam is great. This is the<BR>
primary reason we've not made any moves to move on.<BR>
<BR>
As per your request at the time, and despite SF's assertion of<BR>
ownership rights of the list - we believe it's at best 50/50 as the<BR>
list was started by the OWASP leader, and in general the moderators<BR>
have all been OWASP folks (with the exception of the dude who went<BR>
missing in action before me). However, we feel that it was best to<BR>
minimize the disruption to the webappsec community as our concerns<BR>
had been fixed. OWASP has not formally launched or announced the<BR>
list. We don't make it obvious that there is another list or ask any<BR>
of the members to move. We don't publicize the existence of the list<BR>
on the OWASP web site - new members of that list have to find it via<BR>
the mail man archive list.<BR>
<BR>
During the outage episode, most folks moved to<BR>
websecurity@webappsec.org by themselves, a site run by the Web<BR>
Application Security Consortium (WASC), a vendor organization<BR>
directly competing with OWASP and not affiliated with us in any way.<BR>
Moving there was the second choice by the member's responses, but it<BR>
was only chosen by 17% of them, so I still find the fact that most of<BR>
them now post there is surprising. I know many of them were already<BR>
members so it wasn't hard for that subset. However, today,<BR>
webappsec.org has pretty much 99% of<BR>
webappsec@lists.securityfocus.com volume. webappsec@lists.owasp.org<BR>
has basically no traffic.<BR>
<BR>
This is why it is important to be on the ball when moderators ask for<BR>
help - SF lost the initiative and subsequently the eyeballs by taking<BR>
the lists for granted, and OWASP lost a lot of community eyeballs<BR>
through a system we have no control over, and now we have SF<BR>
asserting ownership rights on the list. To top it off, we now have<BR>
another organization (not affiliated in any way with SF or OWASP)<BR>
taking advantage and gaining all the traffic and mind share. This is<BR>
not a good result for either side.<BR>
<BR>
The things that went right this last year:<BR>
<BR>
1. Good stability, fast delivery of messages<BR>
2. Lack of spam now that it is correctly configured<BR>
3. Responsiveness of requests to Conrad and yourself<BR>
<BR>
The things that went wrong this year:<BR>
<BR>
1. Loss of traffic to a competing site<BR>
2. Loss of trust between us<BR>
<BR>
How do you see webappsec going? Personally, the most pressing thing<BR>
we'd like to talk about is ownership of the list as we have a stake<BR>
in it and its good name for OWASP. We would like to formalize that<BR>
sooner than later.<BR>
<BR>
I'd like to talk about ways we can use this as an opportunity for<BR>
both sides rather than any form of blame game. Let's try to regain<BR>
some of those lost eyeballs.<BR>
<BR>
thanks,<BR>
Andrew<BR>
<BR>
On Mar 12, 2007, at 11:44 AM, Alfred Huger wrote:<BR>
<BR>
 <BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Verdana, Helvetica, Arial"><SPAN STYLE='font-size:12.0px'><BR>
<BR>
Hey Andrew,<BR>
<BR>
I am glad to hear from you, for some reason I thought you had actually<BR>
started the list you mod elsewhere. My apologies for sounding<BR>
vacant on<BR>
this, I know there are recent posts there but I was told that you<BR>
ran the<BR>
list in tandem with another site. Any clarity there?<BR>
<BR>
Cheers,<BR>
al<BR>
<BR>
---<BR>
<BR>
Alfred Huger<BR>
Vice President<BR>
Security Response & Security Services<BR>
<BR>
<BR>
 <BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Verdana, Helvetica, Arial"><SPAN STYLE='font-size:12.0px'>From: Andrew van der Stock <vanderaj@greebo.net><BR>
Date: Sun, 11 Mar 2007 16:51:00 -0500<BR>
To: Alfred Huger <alfred_huger@symantec.com><BR>
Subject: Re: Moderators<BR>
<BR>
Hi Al,<BR>
<BR>
Any time this coming week is fine by me. 301 741 7408.<BR>
<BR>
thanks,<BR>
Andrew<BR>
<BR>
On Mar 9, 2007, at 1:33 PM, Alfred Huger wrote:<BR>
<BR>
 <BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Verdana, Helvetica, Arial"><SPAN STYLE='font-size:12.0px'><BR>
<BR>
All,<BR>
<BR>
I'd like to schedule some time with you to discuss your lists, the<BR>
site<BR>
performance and to hear your thoughts on what's wrong (and right)<BR>
with how<BR>
we are doing things right now. If you can respond back to me we can<BR>
work out<BR>
a time to talk.<BR>
<BR>
Cheers,<BR>
al<BR>
<BR>
---<BR>
<BR>
Alfred Huger<BR>
Vice President<BR>
Security Response & Security Services<BR>
<BR>
 <BR>
</SPAN></FONT></BLOCKQUOTE><FONT FACE="Verdana, Helvetica, Arial"><SPAN STYLE='font-size:12.0px'><BR>
 <BR>
</SPAN></FONT></BLOCKQUOTE><FONT FACE="Verdana, Helvetica, Arial"><SPAN STYLE='font-size:12.0px'><BR>
 <BR>
</SPAN></FONT></BLOCKQUOTE><FONT FACE="Verdana, Helvetica, Arial"><SPAN STYLE='font-size:12.0px'><BR>
 <BR>
</SPAN></FONT></BLOCKQUOTE><FONT FACE="Verdana, Helvetica, Arial"><SPAN STYLE='font-size:12.0px'><BR>
 <BR>
</SPAN></FONT></BLOCKQUOTE><FONT FACE="Verdana, Helvetica, Arial"><SPAN STYLE='font-size:12.0px'><BR>
<BR>
<BR>
------ End of Forwarded Message<BR>
</SPAN></FONT>
</BODY>
</HTML>