well .... lets put this in perspective ....  as I mentioned on the leaders list there is a much worse vulnerability in regonline at the moment<div><br></div><div>Seba found an Sql Injecton which I believe Kate already reported it</div>
<div><br></div><div>Sarah, please don't change anything, this is just the nature of the web today, where big commercial websites have massive vulnerabilities that happen not be exploited in a massive way so nobody notices it (hence the importance of OWASP who is trying to change this status quo).</div>
<div><br></div><div>There is an interesting question here where <b>if OWASP as a commercial entity accepts this behaviour from one of its vendors,</b> but I leave that to the Board (CCed) to comment about it.<br clear="all">
<br>Dinis Cruz<br><br><div class="gmail_quote">On 12 January 2011 02:39, Sarah Baso <span dir="ltr"><<a href="mailto:sarah.baso@owasp.org">sarah.baso@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Dinis and Jason, <br>Would you please assess the JavaScript that Ralph raised a concern about?  Also, would you please reply independently on the leaders thread about the CVV concern that <span style="font-size:10pt">Ofer Maor </span>brought up?  I am not sure that the CVV is technically required (probably depends on an internal risk assessment), but I still think we want to act proactively in addressing these things.<br>

<br>Thanks -- I do not have anywhere near the technical expertise or the time to really do much with this other than understand that it is a problem and communicate it to the right people:)<br><br>Thanks,<br>Sarah<br><br>

<div class="gmail_quote">---------- Forwarded message ----------<br>
From: <b class="gmail_sendername">Sarah Baso</b> <span dir="ltr"><<a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a>></span><br>Date: Tue, Jan 11, 2011 at 8:32 PM<br>Subject: Fwd: Summit Sponsorship and booking your trip<br>


To: Ralph Durkee <<a href="mailto:ralph.durkee@owasp.org" target="_blank">ralph.durkee@owasp.org</a>><br><br><br>Ralph, thank you for the update. We'll forward this onto the technical team for an assessment of the risk introduced by the third party JavaScript and whether it can be remediated. We probably can't change this in time for the Summit, but will work aggressively to handle this.<br>



<br>I will also get back to you with an updated discount code asap tomorrow morning.<br><br>Thanks,<br><font color="#888888">Sarah Baso<br></font><div class="gmail_quote"><div>---------- Forwarded message ----------<br>
From: <b class="gmail_sendername">Ralph Durkee</b> <span dir="ltr"><<a href="mailto:rd@rd1.net" target="_blank">rd@rd1.net</a>></span><br>
Date: Tue, Jan 11, 2011 at 8:25 PM<br>Subject: Re: Summit Sponsorship and booking your trip<br></div><div><div></div><div>To: Sarah Baso <<a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a>><br>


Cc: Ralph Durkee <<a href="mailto:rd@rd1.net" target="_blank">rd@rd1.net</a>><br>
<br><br>It took a lot of playing with the web site to make the discount code text<br>
box appear.  I'm using FireFox on Linux, with no-script, which blocks<br>
JavaScript, and allows you to selectively enable JavaScript from trusted<br>
sites.   I think FireFox users on Windows are likely to experience the<br>
same problem.  What I found:<br>
<br>
In addition to enabling JavaScript from <a href="http://regonline.com" target="_blank">regonline.com</a> (which is expected)<br>
I had to enable JavaScript from the domain ActiveStaic.net  and had to<br>
re-select the registration type.<br>
<br>
My recommendation is to avoid any 3rd party JavaScript, as users should<br>
not be expected to trust 3rd parties, and the approach places the security<br>
of the regonline web site in the hands of third parties.<br>
<br>
Hope this helps.<br>
<font color="#888888">--Ralph<br>
</font><div><div></div><div><br>
<br>
<br>
<br>
> Ralph... Did you figure it out or do you still need help?<br>
><br>
> On the very first page aftere you selected your 4 night option, the<br>
> discount code box should appear. Call me on my cell at 651 233 6334 if<br>
> you want me to walk you through it.<br>
><br>
> Sarah<br>
><br>
> On 1/11/11, Ralph Durkee <<a href="mailto:rd@rd1.net" target="_blank">rd@rd1.net</a>> wrote:<br>
>> Thanks!<br>
>><br>
>><br>
>>> Ralph-<br>
>>><br>
>>> To book your Summit Ticket and Accommodations, please go to our online<br>
>>> registration system at:<br>
>>><br>
>>> <a href="http://www.regonline.com/owasp_global_summit_2011" target="_blank">http://www.regonline.com/owasp_global_summit_2011</a><br>
>>><br>
>>><br>
>>> When you select one of the 4 night lodging options on the main page<br>
>>> (either<br>
>>> shared or private -- OWASP is paying for the shared, but you can cover<br>
>>> the<br>
>>> difference yourself if you want private), enter your discount code<br>
>>> *Durkee2<br>
>>> *, which will take the OWASP sponsored portion ($800 USD + $180 for the<br>
>>> two<br>
>>> extra nights = $980) from the total amount due on your summit ticket<br>
>>> and<br>
>>> accommodations.<br>
>>><br>
>>> You will need to add the two extra nights accommodation later in the<br>
>>> registration process (the 3rd or 4th screen i think), but this should<br>
>>> be<br>
>>> covered by your coupon code so you won't end up paying for them.<br>
>>><br>
>>> Also, the system will ask for your flight details (optionally), I<br>
>>> already<br>
>>> have that so you can enter it if you want but it is not necessary.<br>
>>><br>
>>> Let me know if you have any questions --<br>
>>><br>
>>> Sarah Baso<br>
>>><br>
>>><br>
>>> On Tue, Jan 11, 2011 at 6:45 AM, Ralph Durkee <<a href="mailto:rd@rd1.net" target="_blank">rd@rd1.net</a>> wrote:<br>
>>><br>
>>>> Home & office is 585-624-9551<br>
>>>> Cell 585-755-9551<br>
>>>><br>
>>>> --<br>
>>>> Sent from my phone.  Please excuse my brevity.<br>
>>>><br>
>>>> "Sarah Baso" <<a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a>> wrote:<br>
>>>><br>
>>>> >Ralph -  I also need your home phone number.<br>
>>>> ><br>
>>>> > Thanks,<br>
>>>> >Sarah<br>
>>>> ><br>
>>>> >On Tue, Jan 11, 2011 at 5:40 AM, Ralph Durkee<br>
>>>> ><<a href="mailto:ralph.durkee@owasp.org" target="_blank">ralph.durkee@owasp.org</a>>wrote:<br>
>>>> ><br>
>>>> >>  Flight sounds fine. Go ahead and book.<br>
>>>> >> Ralph L Durkee   11-03-1960<br>
>>>> >> Thanks a bunch!<br>
>>>> >><br>
>>>> >> --Ralph<br>
>>>> >><br>
>>>> >><br>
>>>> >> On 1/11/2011 1:31 AM, Sarah Baso wrote:<br>
>>>> >><br>
>>>> >> Ralph,<br>
>>>> >> Leaving Monday and arriving Tuesday morning would certainly be<br>
>>>> >acceptable;<br>
>>>> >> however, our recommendation is that you arrive on Monday so that<br>
>>>> you<br>
>>>> >can be<br>
>>>> >> at the Summit for 4 full days (Tues, Wed, Thurs, Fri) and depart<br>
>>>> >Friday<br>
>>>> >> evening or Sat/Sunday depending on flight availability and pricing.<br>
>>>> >><br>
>>>> >> I have included a proposed flight inerary (below) which leaves ROC<br>
>>>> on<br>
>>>> >> Sunday evening, arriving in Lisbon on Monday.  Then you would<br>
>>>> depart<br>
>>>> >Lisbon<br>
>>>> >> on Sunday (13th) arriving back in ROC on the 13th.  Because a<br>
>>>> flight<br>
>>>> >that<br>
>>>> >> leaves Lisbon on Sunday (instead of Friday evening or Saturday) is<br>
>>>> >> significantly cheaper, OWASP would be willing to pay for the extra<br>
>>>> >two<br>
>>>> >> nights of accommodation.<br>
>>>> >><br>
>>>> >> Look at the itinerary below and let me know your thoughts. I can<br>
>>>> >adjust it<br>
>>>> >> accordingly or even book this if you think it will work.  In order<br>
>>>> to<br>
>>>> >book<br>
>>>> >> your trip I will need your name as it appears on your passport and<br>
>>>> >date of<br>
>>>> >> birth.<br>
>>>> >><br>
>>>> >> Regards,<br>
>>>> >> Sarah Baso<br>
>>>> >><br>
>>>> >>   Sunday, February 6, 2011 Leave   Continental Airlines 2516<br>
>>>> >Operated<br>
>>>> >> by: /EXPRESSJET AIRLINES INC DBA CO EXPRESS<br>
>>>> >><br>
>>>> >>    - Economy<br>
>>>> >>    - 60% on time<br>
>>>> >>    - Embraer RJ135-145<br>
>>>> >>    - 1hr 33min<br>
>>>> >>    - 255 miles<br>
>>>> >><br>
>>>> >><br>
>>>> >>  Depart: 5:32pm evening Rochester, NY Rochester Monroe County (ROC)<br>
>>>> >1<br>
>>>> >> stop<br>
>>>> >>  Arrive: 7:05pm evening Newark, NJ Newark Liberty Int'l (EWR)<br>
>>>> >><br>
>>>> >> *Change planes.* Time between flights: *1hr 10min*****<br>
>>>> >><br>
>>>> >>    Continental Airlines 64<br>
>>>> >><br>
>>>> >>    - Economy<br>
>>>> >>    - Boeing 757<br>
>>>> >>    - 6hr 55min<br>
>>>> >>    - 3366 miles<br>
>>>> >><br>
>>>> >><br>
>>>> >>  Depart: 8:15pm evening Newark, NJ Newark Liberty Int'l (EWR)<br>
>>>> >>  Arrive: 8:10am morning Lisbon, Portugal Lisbon Lisboa (LIS)<br>
>>>> >><br>
>>>> >>    This is an overnight flight.<br>
>>>> >><br>
>>>> >>   Total duration: 9hr 38min Total miles: 3621 miles     Sunday,<br>
>>>> >February<br>
>>>> >> 13, 2011 Return   Continental Airlines 65<br>
>>>> >><br>
>>>> >>    - Economy<br>
>>>> >>    - Boeing 757<br>
>>>> >>    - 8hr 15min<br>
>>>> >>    - 3366 miles<br>
>>>> >><br>
>>>> >><br>
>>>> >>  Depart: 10:15am morning Lisbon, Portugal Lisbon Lisboa (LIS)  1<br>
>>>> stop<br>
>>>> >>  Arrive: 1:30pm afternoon Newark, NJ Newark Liberty Int'l (EWR)<br>
>>>> >><br>
>>>> >> *Change planes.* Time between flights: *3hr 30min*****<br>
>>>> >><br>
>>>> >>    Continental Airlines 2144   Operated by: /EXPRESSJET AIRLINES<br>
>>>> INC<br>
>>>> >DBA<br>
>>>> >> CO EXPRESS<br>
>>>> >><br>
>>>> >>    - Economy<br>
>>>> >>    - 70% on time<br>
>>>> >>    - Embraer RJ135-145<br>
>>>> >>    - 1hr 22min<br>
>>>> >>    - 255 miles<br>
>>>> >><br>
>>>> >><br>
>>>> >>  Depart: 5:00pm evening Newark, NJ Newark Liberty Int'l (EWR)<br>
>>>> >>  Arrive: 6:22pm evening Rochester, NY Rochester Monroe County (ROC)<br>
>>>> >><br>
>>>> >><br>
>>>> >>   Total duration: 13hr 7min Total miles: 3621 miles<br>
>>>> >><br>
>>>> >> On Mon, Jan 10, 2011 at 1:36 PM, Ralph Durkee<br>
>>>> ><<a href="mailto:ralph.durkee@owasp.org" target="_blank">ralph.durkee@owasp.org</a>>wrote:<br>
>>>> >><br>
>>>> >>>  Thanks! Looking through the various pages and workshops, it's<br>
>>>> hard<br>
>>>> >to get<br>
>>>> >>> a feel for the schedule.  What's the recommended arrival and<br>
>>>> depart<br>
>>>> >time<br>
>>>> >>> window.  I'm seeing flights from Rochester that if I leave early<br>
>>>> >Monday am<br>
>>>> >>> I'd get there Tuesday 8:10am, does that work?<br>
>>>> >>><br>
>>>> >>> --Ralph<br>
>>>> >>><br>
>>>> >>> On 1/10/2011 1:04 PM, Sarah Baso wrote:<br>
>>>> >>><br>
>>>> >>> Ralph-<br>
>>>> >>><br>
>>>> >>> You have been selected to receive an OWASP sponsorship to attend<br>
>>>> the<br>
>>>> >>> Summit.  To see the final list and stats, please visit:*<br>
>>>> >>><br>
>>>> ><br>
>>>> <a href="http://www.owasp.org/index.php/Summit_2011_Attendee/Summit_Attendees_Funds_-_Ranking_for_10th_Jan_2010" target="_blank">http://www.owasp.org/index.php/Summit_2011_Attendee/Summit_Attendees_Funds_-_Ranking_for_10th_Jan_2010</a><br>




>>>> >>> * (note that the previous wiki page /Summit_2011_Attendee/Stats is<br>
>>>> >>> decommissioned)<br>
>>>> >>><br>
>>>> >>> In order to expedite the reservation process - Kate Hartmann and I<br>
>>>> >will<br>
>>>> >>> now be handling the bookings (both accommodations and ticketing)<br>
>>>> for<br>
>>>> >the<br>
>>>> >>> Summit instead of Maria at Diplomata (who was previously the point<br>
>>>> >of<br>
>>>> >>> contact).<br>
>>>> >>><br>
>>>> >>> We are finalizing an online system for the Summit ticket and<br>
>>>> >>> accommodations and I should be able to send you a follow up email<br>
>>>> >with a<br>
>>>> >>> link to the site and instructions by the end of the day.  In the<br>
>>>> >meantime,<br>
>>>> >>> please go to <a href="http://www.orbitz.com" target="_blank">www.orbitz.com</a> and decide what flight you prefer to<br>
>>>> get<br>
>>>> >to<br>
>>>> >>> the Summit (arriving in Lisbon).  Save the trip as an itinerary<br>
>>>> and<br>
>>>> >then<br>
>>>> >>> email the itinerary for me.  I will do my best to accommodate your<br>
>>>> >>> preferences - and letting you know before I book if I cannot.<br>
>>>> >>><br>
>>>> >>>  Also, please visit<br>
>>>> >>> <a href="http://www.owasp.org/index.php/Summit_2011_Summit_Sponsorship_Fund" target="_blank">http://www.owasp.org/index.php/Summit_2011_Summit_Sponsorship_Fund</a><br>
>>>> >for<br>
>>>> >>> details on the sponsorship process and<br>
>>>> >>> <a href="http://www.owasp.org/index.php/Summit_2011_Reservations" target="_blank">http://www.owasp.org/index.php/Summit_2011_Reservations</a> for<br>
>>>> details<br>
>>>> >on<br>
>>>> >>> the pricing, etc.  *These pages may take up to 24 hours to reflect<br>
>>>> >the<br>
>>>> >>> new information on booking through me instead of Diplomata.*<br>
>>>> >>><br>
>>>> >>> Look for another email from me later tonight with more details on<br>
>>>> >the<br>
>>>> >>> online booking process for accommodations.<br>
>>>> >>><br>
>>>> >>> Thanks for your patience as we iron out the process and get<br>
>>>> >everything<br>
>>>> >>> booked!<br>
>>>> >>><br>
>>>> >>> Sarah Baso<br>
>>>> >>><br>
>>>> >>><br>
>>>> >>> --<br>
>>>> >>> OWASP Global Summit Organizing Committee<br>
>>>> >>> Secretary for OWASP Global Industry Committee<br>
>>>> >>><br>
>>>> >>> Dir: 651-233-6334<br>
>>>> >>> skype: sarah.baso<br>
>>>> >>> <a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a> <<a href="mailto:lorna.alamri@owasp.org" target="_blank">lorna.alamri@owasp.org</a>><br>
>>>> >>><br>
>>>> >>><br>
>>>> >><br>
>>>> >><br>
>>>> >> --<br>
>>>> >> OWASP Global Summit Organizing Committee<br>
>>>> >> Secretary for OWASP Global Industry Committee<br>
>>>> >><br>
>>>> >> Dir: 651-233-6334<br>
>>>> >> skype: sarah.baso<br>
>>>> >> <a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a> <<a href="mailto:lorna.alamri@owasp.org" target="_blank">lorna.alamri@owasp.org</a>><br>
>>>> >><br>
>>>> >><br>
>>>> ><br>
>>>> ><br>
>>>> >--<br>
>>>> >OWASP Global Summit Organizing Committee<br>
>>>> >Secretary for OWASP Global Industry Committee<br>
>>>> ><br>
>>>> >Dir: 651-233-6334<br>
>>>> >skype: sarah.baso<br>
>>>> ><a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a> <<a href="mailto:lorna.alamri@owasp.org" target="_blank">lorna.alamri@owasp.org</a>><br>
>>>><br>
>>>><br>
>>><br>
>>><br>
>>> --<br>
>>> OWASP Global Summit Organizing Committee<br>
>>> Secretary for OWASP Global Industry Committee<br>
>>><br>
>>> Dir: 651-233-6334<br>
>>> skype: sarah.baso<br>
>>> <a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a> <<a href="mailto:lorna.alamri@owasp.org" target="_blank">lorna.alamri@owasp.org</a>><br>
>>><br>
>><br>
>><br>
>><br>
><br>
> --<br>
> Sent from my mobile device<br>
><br>
> OWASP Global Summit Organizing Committee<br>
> Secretary for OWASP Global Industry Committee<br>
><br>
> Dir: 651-233-6334<br>
> skype: sarah.baso<br>
> <a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a> <<a href="mailto:lorna.alamri@owasp.org" target="_blank">lorna.alamri@owasp.org</a>><br>
><br>
<br>
<br>
</div></div></div></div></div><br><br clear="all"><br>-- <br><div><div></div><div>OWASP Global Summit Organizing Committee<br>Secretary for OWASP Global Industry Committee<br><br>
<div>Dir: 651-233-6334<br>skype: sarah.baso<br><a href="mailto:lorna.alamri@owasp.org" target="_blank">sarah.baso@owasp.org</a></div><br>
</div></div></div><br><br clear="all"><br>-- <br>OWASP Global Summit Organizing Committee<br>Secretary for OWASP Global Industry Committee<br><br>
<div>Dir: 651-233-6334<br>skype: sarah.baso<br><a href="mailto:lorna.alamri@owasp.org" target="_blank">sarah.baso@owasp.org</a></div><br>
</blockquote></div><br></div>