<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.E-MailFormatvorlage17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page Section1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 2.0cm 70.85pt;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=DE link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>I hate &#8222;me too&#8220; mails, but &#8230; I agree :-)<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>--Christian<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'>

<p class=MsoNormal><span lang=EN-US><o:p>&nbsp;</o:p></span></p>

<div>

<div>

<p class=MsoNormal><span lang=EN-US>I don't think the two ideas (protect exam
content and have non-U.S.&nbsp;people see it)&nbsp;are mutually exclusive but I
believe David and James seem to be talking about two different things: one is
protecting the exam content, i.e. not making it available to anyone and
everyone, and the other is the assumption that we can't protect content given
to anyone outside the U.S., which I don't think is true.<o:p></o:p></span></p>

</div>

<div>

<p class=MsoNormal><span lang=EN-US>&nbsp;<o:p></o:p></span></p>

</div>

<div>

<p class=MsoNormal>Who here agrees with the following, or if not why not--I'm
not 100% sold on my own ideas, heh:<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>1. The exam content should be revised and selected (and
known/accessible&nbsp;in all or in significant part) by only a select few
people, call them a peer review board (not a board like OWASP's board), rather
than open to the public. The people and the number&nbsp;thereof are not
set/known now. Maybe it will be all the people currently subscribed to this
list.<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>2. The people on this content peer review board should not
be purposely limited to be&nbsp;persons only in the U.S., although it might
work out that way naturally&nbsp;because they're all volunteers.<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>3. Accountability for protecting (i.e. not disseminating,
discussing, divulging, etc.) the exam content made available to the people on
this board should be compulsory and some effort should be made to make this
obligation legally binding to protect OWASP and the reputation/value of the
cert. This might mean signing an NDA-style agreement, license, etc. Taking
someone's word for it probably isn't enough.<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>4. The people on this board should know and accept that they
themselves might not be able to get the certification(s) due to their
privileges.<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>5. All other aspects of this project should be open to the
public and all of OWASP just like any other OWASP project. This means exam
content, once defined/structured, can come from anywhere,&nbsp;even if it's
submitted in a public way--like posting to this very mail list--but the final
product (an actual exam's content) may not necessarily contain the submitted
content at all or exactly as submitted, and the review board might (and
probably should)&nbsp;come up with its own content that is never seen outside that
group of people (unless you take the exam of course).<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>This way exam content isn't solely one single person's
responsibility, which has its own drawbacks, yet it isn't open to the public
such that anyone&nbsp;could aggregate all the exam content and come up with a
pretty good&nbsp;cram guide or crib sheet...BUT the rest of the project is
still completely public and transparent. The actual OWASP board might act as an
oversight committee in case there's any complaint about exam content and how it
is chosen, since that part's not completely open. (This isn't necessarily the
same as the exam taker's challenge process.)<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>Matt<br>
<br>
<br>
<o:p></o:p></p>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

</div>

</div>

</div>

</body>

</html>