<div dir="ltr"><div>No need to play the emotional trump card...I&#39;m just not convinced asking for employer or email from work is going to guarantee anything (although the latter is a bit better &#39;proof&#39; of employer). Someone can volunteer his/her employer and submit content in good faith or with good intentions but we could still be told by that employer that the content is theirs because they own all the IP the employee creates whilst in their employ, or something similar--perhaps merely by saying &quot;this is my submission&quot; and &quot;this is my employer&quot; in the same context means, to the employer, that the content belongs to the employer. Or maybe people will lie and submit content saying they work for Spacely Sprockets when they actually work for Cogswell Cogs. Or maybe someone really does work for Whizlabs or something similar but wants to participate--are you saying they can&#39;t, even with their employer&#39;s permission? Either way does it matter if the individual created the content?</div>

<div>&nbsp;</div>
<div>Matt<br><br></div>
<div class="gmail_quote">On Mon, Jul 28, 2008 at 5:34 PM, <span dir="ltr">&lt;<a href="mailto:james@architectbook.com">james@architectbook.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div>Could you imagine if someone joined our project where we didn&#39;t know their employer or even that they are really who they say they are and discover this employee works for Whizlabs or some other entity that sells test questions? It would mean that our process is flawed and more importantly would probably result in invalidating all the hard work done by others. <br>
<br>How about a compromise where the sole confirmation I need is an email from their work email indicating that all is well. Sorry, for caring about the team... 
<div class="Ih2E3d"><br><br>
<blockquote style="PADDING-LEFT: 8px; MARGIN-LEFT: 8px; BORDER-LEFT: blue 2px solid">-------- Original Message --------<br>Subject: Re: [Owasp-cert] Deadlines for August<br>From: &quot;Matthew Chalmers&quot; &lt;<a href="mailto:matthew.chalmers@owasp.org" target="_blank">matthew.chalmers@owasp.org</a>&gt;<br>
Date: Mon, July 28, 2008 3:57 pm<br>To: <a href="mailto:james@architectbook.com" target="_blank">james@architectbook.com</a><br>Cc: <a href="mailto:owasp-cert@lists.owasp.org" target="_blank">owasp-cert@lists.owasp.org</a><br>
<br>
<div dir="ltr">
<div>Ah, that makes more sense now, thanks for clarifying. There might be some problems, though.</div>
<div>&nbsp;</div>
<div>1. Some people will&nbsp;decline to submit exam content--possibly content which could be great for the exam--because they&#39;re required to provide their company name but can&#39;t (some people will ask their company and the company will say no)&nbsp;or&nbsp;don&#39;t want to, for whatever reason, valid or no. This also makes OWASP appear not as &quot;free and open.&quot; The only way I see around this is to have everyone who submits content sign or agree to some kind of waiver which states they created what they are submitting and can be held personally responsible if otherwise, however, this will still cause some people to decline to submit content.</div>

<div>&nbsp;</div>
<div>2. Some companies that are surprised to find their name associated with this project&nbsp;or OWASP may attempt to take action against OWASP or the individual from the company. It may be as simple as asking us to remove their name but it could be worse, for OWASP or the individual who had the best intentions and was just doing what OWASP said.</div>

<div>&nbsp;</div>
<div>3. We may need our own privacy policy for this project. No other OWASP project I&#39;m aware of requires volunteers to give their company name because it&#39;s irrelevant. Sure OWASP in general would like to have respected company names associated with its work, as you indicated,&nbsp;but it&#39;s never been compulsory. If we require content submitters to submit anything--at all--other than the exam content they&#39;ve come up with, that we intend to use somehow other than perhaps storing away in a database (which has its own concerns), we may need to have a disclosure statement about how we intend to use that info. So this is legal document/contract number 2, or maybe 3 (see #1 above). And we know you really, really, really, really, really, hate NDAs. ;-)</div>

<div>&nbsp;</div>
<div>There may be other problems I haven&#39;t thought of...</div>
<div>&nbsp;</div>
<div>Matt</div><br></div></blockquote></div></div></blockquote></div><br></div>