<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML dir=ltr><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.6000.16825" name=GENERATOR>
<STYLE>font-face {
        FONT-FAMILY: "Cambria Math"
}
font-face {
        FONT-FAMILY: Calibri
}
font-face {
        FONT-FAMILY: Verdana
}
P.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"
}
LI.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"
}
DIV.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"
}
A:link {
        COLOR: blue; TEXT-DECORATION: underline
}
SPAN.MsoHyperlink {
        COLOR: blue; TEXT-DECORATION: underline
}
A:visited {
        COLOR: purple; TEXT-DECORATION: underline
}
SPAN.MsoHyperlinkFollowed {
        COLOR: purple; TEXT-DECORATION: underline
}
P {
        FONT-SIZE: 12pt; MARGIN-LEFT: 0in; MARGIN-RIGHT: 0in; FONT-FAMILY: "Times New Roman","serif"
}
P.MsoListParagraph {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt 0.5in; FONT-FAMILY: "Times New Roman","serif"
}
LI.MsoListParagraph {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt 0.5in; FONT-FAMILY: "Times New Roman","serif"
}
DIV.MsoListParagraph {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt 0.5in; FONT-FAMILY: "Times New Roman","serif"
}
SPAN.EmailStyle19 {
        COLOR: #1f497d; FONT-FAMILY: "Calibri","sans-serif"
}
.MsoChpDefault {
        FONT-SIZE: 10pt
}
DIV.Section1 {
        page: Section1
}
</STYLE>
</HEAD>
<BODY lang=EN-US vLink=purple link=blue bgColor=#ffffff>
<DIV><FONT face=Arial size=2>Security almost always gets in the way of good 
performance.&nbsp; =) L</FONT><FONT face=Arial size=2>uckily, hardware is cheap 
these days. </FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>I vote we leave this at least at something 
&gt;&nbsp;1 - to demonstrate a little slowness, on purpose. </FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>We should also talk about this in a little more 
detail in the upcoming ESAPI-based&nbsp;Architectural Design 
document.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>- Jim</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<BLOCKQUOTE dir=ltr 
style="PADDING-RIGHT: 0px; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 2px solid; MARGIN-RIGHT: 0px">
  <DIV style="FONT: 10pt arial">----- Original Message ----- </DIV>
  <DIV 
  style="BACKGROUND: #e4e4e4; FONT: 10pt arial; font-color: black"><B>From:</B> 
  <A title=arshan.dabirsiaghi@aspectsecurity.com 
  href="mailto:arshan.dabirsiaghi@aspectsecurity.com">Arshan Dabirsiaghi</A> 
  </DIV>
  <DIV style="FONT: 10pt arial"><B>To:</B> <A title=jim.manico@owasp.org 
  href="mailto:jim.manico@owasp.org">Jim Manico</A> ; <A 
  title=jeffl.williams@owasp.org 
  href="mailto:jeffl.williams@owasp.org">jeffl.williams@owasp.org</A> ; <A 
  title=urgunb@hotmail.com href="mailto:urgunb@hotmail.com">Bedirhan Urgun</A> ; 
  <A title=owasp-esapi@lists.owasp.org 
  href="mailto:owasp-esapi@lists.owasp.org">owasp-esapi@lists.owasp.org</A> 
  </DIV>
  <DIV style="FONT: 10pt arial"><B>Sent:</B> Thursday, May 21, 2009 10:23 
  AM</DIV>
  <DIV style="FONT: 10pt arial"><B>Subject:</B> RE: [OWASP-ESAPI] About 
  owasp-esapi-java</DIV>
  <DIV><BR></DIV>
  <DIV id=idOWAReplyText78487 dir=ltr>
  <DIV dir=ltr><FONT face=Arial color=#000000 size=2>Of course it is. 
  </FONT></DIV>
  <DIV dir=ltr><FONT face=Arial color=#000000 size=2></FONT>&nbsp;</DIV>
  <DIV dir=ltr><FONT face=Arial color=#000000 size=2>I'm saying most people, if 
  they knew that this was going on, would choose not to use it because of the 
  limited benefits it provides. It's possible that I'm wrong - I have no data to 
  support that opinion.&nbsp;I just know lots of developers who generally like 
  things to be really fast.</FONT></DIV>
  <DIV dir=ltr><FONT face=Arial size=2></FONT>&nbsp;</DIV>
  <DIV dir=ltr><FONT face=Arial size=2>Arshan</FONT></DIV></DIV>
  <DIV dir=ltr><BR>
  <HR tabIndex=-1>
  <FONT face=Tahoma size=2><B>From:</B> Jim Manico 
  [mailto:jim.manico@owasp.org]<BR><B>Sent:</B> Thu 5/21/2009 4:09 
  PM<BR><B>To:</B> Arshan Dabirsiaghi; <A 
  href="mailto:jeffl.williams@owasp.org">jeffl.williams@owasp.org</A>; Bedirhan 
  Urgun; <A 
  href="mailto:owasp-esapi@lists.owasp.org">owasp-esapi@lists.owasp.org</A><BR><B>Subject:</B> 
  Re: [OWASP-ESAPI] About owasp-esapi-java<BR></FONT><BR></DIV>
  <DIV dir=ltr>
  <DIV><FONT face=Arial size=2>Arshan,</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
  <DIV><FONT face=Arial size=2>The slowness is by design, intending to make it 
  slower for someone with database access to brute-force&nbsp;the hash back to 
  the password.</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
  <DIV><FONT face=Arial size=2>- Jim</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
  <BLOCKQUOTE 
  style="PADDING-RIGHT: 0px; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 2px solid; MARGIN-RIGHT: 0px">
    <DIV style="FONT: 10pt arial">----- Original Message ----- </DIV>
    <DIV style="BACKGROUND: #e4e4e4; FONT: 10pt arial"><B>From:</B> <A 
    title=arshan.dabirsiaghi@aspectsecurity.com 
    href="mailto:arshan.dabirsiaghi@aspectsecurity.com">Arshan Dabirsiaghi</A> 
    </DIV>
    <DIV style="FONT: 10pt arial"><B>To:</B> <A title=jeffl.williams@owasp.org 
    href="mailto:jeffl.williams@owasp.org">jeffl.williams@owasp.org</A> ; <A 
    title=urgunb@hotmail.com href="mailto:urgunb@hotmail.com">Bedirhan Urgun</A> 
    ; <A title=owasp-esapi@lists.owasp.org 
    href="mailto:owasp-esapi@lists.owasp.org">owasp-esapi@lists.owasp.org</A> 
    </DIV>
    <DIV style="FONT: 10pt arial"><B>Sent:</B> Thursday, May 21, 2009 10:05 
    AM</DIV>
    <DIV style="FONT: 10pt arial"><B>Subject:</B> Re: [OWASP-ESAPI] About 
    owasp-esapi-java</DIV>
    <DIV><BR></DIV>
    <DIV id=idOWAReplyText24188 dir=ltr>
    <DIV dir=ltr><FONT face=Arial size=2>The HashIterations value is a form of 
    key strengthening [1]. Am I alone in thinking this value should be 1 
    (essentially off) by default? I'm not suggesting hashing is expensive as 
    search, but I think people would not like the performance results of this 
    feature. After all, it's intended to be slow. </FONT></DIV>
    <DIV dir=ltr><FONT face=Arial size=2></FONT>&nbsp;</DIV>
    <DIV dir=ltr><FONT face=Arial size=2>Arshan</FONT></DIV>
    <DIV dir=ltr><FONT face=Arial size=2></FONT>&nbsp;</DIV>
    <DIV dir=ltr><FONT face=Arial size=2>[1] <A 
    href="http://en.wikipedia.org/wiki/Key_strengthening">http://en.wikipedia.org/wiki/Key_strengthening</A></FONT></DIV></DIV>
    <DIV dir=ltr><BR>
    <HR tabIndex=-1>
    </DIV>
    <DIV>
    <DIV class=Section1>
    <P class=MsoNormal><SPAN 
    style="FONT-SIZE: 10pt; FONT-FAMILY: 'Verdana','sans-serif'"><BR>4. There's 
    a HashIterations property key in ESAPI.properties. But this isn't used in 
    org.owasp.esapi.reference.JavaEncyptor's <STRONG><SPAN 
    style="FONT-FAMILY: 'Verdana','sans-serif'">hash</SPAN></STRONG> method. 
    Instead there's a hardcoded 1024.<BR><BR></SPAN></P>
    <P class=MsoNormal><SPAN 
    style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">Good 
    catch. This has been fixed so the hash iterations are configurable 
    now.&nbsp; Thanks!</SPAN></P>
    <P class=MsoNormal><SPAN 
    style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"></SPAN>&nbsp;</P>
    <P class=MsoNormal><SPAN 
    style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">--Jeff</SPAN></P>
    <P class=MsoNormal><SPAN 
    style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"></SPAN>&nbsp;</P></DIV></DIV>
    <P>
    <HR>

    <P></P>_______________________________________________<BR>OWASP-ESAPI 
    mailing 
    list<BR>OWASP-ESAPI@lists.owasp.org<BR>https://lists.owasp.org/mailman/listinfo/owasp-esapi<BR></BLOCKQUOTE></DIV></BLOCKQUOTE></BODY></HTML>