<HTML dir=ltr><HEAD>
<META http-equiv=Content-Type content="text/html; charset=unicode">
<META content="MSHTML 6.00.6001.18226" name=GENERATOR>
<STYLE>font-face {
        FONT-FAMILY: "Cambria Math"
}
font-face {
        FONT-FAMILY: Calibri
}
font-face {
        FONT-FAMILY: Verdana
}
P.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"
}
LI.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"
}
DIV.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"
}
A:link {
        COLOR: blue; TEXT-DECORATION: underline
}
SPAN.MsoHyperlink {
        COLOR: blue; TEXT-DECORATION: underline
}
A:visited {
        COLOR: purple; TEXT-DECORATION: underline
}
SPAN.MsoHyperlinkFollowed {
        COLOR: purple; TEXT-DECORATION: underline
}
P {
        FONT-SIZE: 12pt; MARGIN-LEFT: 0in; MARGIN-RIGHT: 0in; FONT-FAMILY: "Times New Roman","serif"
}
P.MsoListParagraph {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt 0.5in; FONT-FAMILY: "Times New Roman","serif"
}
LI.MsoListParagraph {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt 0.5in; FONT-FAMILY: "Times New Roman","serif"
}
DIV.MsoListParagraph {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt 0.5in; FONT-FAMILY: "Times New Roman","serif"
}
SPAN.EmailStyle19 {
        COLOR: #1f497d; FONT-FAMILY: "Calibri","sans-serif"
}
.MsoChpDefault {
        FONT-SIZE: 10pt
}
DIV.Section1 {
        page: Section1
}
</STYLE>
</HEAD>
<BODY lang=EN-US vLink=purple link=blue bgColor=#ffffff>
<DIV id=idOWAReplyText78487 dir=ltr>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2>Of course it is. </FONT></DIV>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2>I'm saying most people, if they knew that this was going on, would choose not to use it because of the limited benefits it provides. It's possible that I'm wrong - I have no data to support that opinion.&nbsp;I just know lots of developers who generally like things to be really fast.</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial size=2>Arshan</FONT></DIV></DIV>
<DIV dir=ltr><BR>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> Jim Manico [mailto:jim.manico@owasp.org]<BR><B>Sent:</B> Thu 5/21/2009 4:09 PM<BR><B>To:</B> Arshan Dabirsiaghi; jeffl.williams@owasp.org; Bedirhan Urgun; owasp-esapi@lists.owasp.org<BR><B>Subject:</B> Re: [OWASP-ESAPI] About owasp-esapi-java<BR></FONT><BR></DIV>
<DIV dir=ltr>
<DIV><FONT face=Arial size=2>Arshan,</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>The slowness is by design, intending to make it slower for someone with database access to brute-force&nbsp;the hash back to the password.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>- Jim</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<BLOCKQUOTE style="PADDING-RIGHT: 0px; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 2px solid; MARGIN-RIGHT: 0px">
<DIV style="FONT: 10pt arial">----- Original Message ----- </DIV>
<DIV style="BACKGROUND: #e4e4e4; FONT: 10pt arial"><B>From:</B> <A title=arshan.dabirsiaghi@aspectsecurity.com href="mailto:arshan.dabirsiaghi@aspectsecurity.com">Arshan Dabirsiaghi</A> </DIV>
<DIV style="FONT: 10pt arial"><B>To:</B> <A title=jeffl.williams@owasp.org href="mailto:jeffl.williams@owasp.org">jeffl.williams@owasp.org</A> ; <A title=urgunb@hotmail.com href="mailto:urgunb@hotmail.com">Bedirhan Urgun</A> ; <A title=owasp-esapi@lists.owasp.org href="mailto:owasp-esapi@lists.owasp.org">owasp-esapi@lists.owasp.org</A> </DIV>
<DIV style="FONT: 10pt arial"><B>Sent:</B> Thursday, May 21, 2009 10:05 AM</DIV>
<DIV style="FONT: 10pt arial"><B>Subject:</B> Re: [OWASP-ESAPI] About owasp-esapi-java</DIV>
<DIV><BR></DIV>
<DIV id=idOWAReplyText24188 dir=ltr>
<DIV dir=ltr><FONT face=Arial size=2>The HashIterations value is a form of key strengthening [1]. Am I alone in thinking this value should be 1 (essentially off) by default? I'm not suggesting hashing is expensive as search, but I think people would not like the performance results of this feature. After all, it's intended to be slow. </FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial size=2>Arshan</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial size=2>[1] <A href="http://en.wikipedia.org/wiki/Key_strengthening">http://en.wikipedia.org/wiki/Key_strengthening</A></FONT></DIV></DIV>
<DIV dir=ltr><BR>
<HR tabIndex=-1>
</DIV>
<DIV>
<DIV class=Section1>
<P class=MsoNormal><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: 'Verdana','sans-serif'"><BR>4. There's a HashIterations property key in ESAPI.properties. But this isn't used in org.owasp.esapi.reference.JavaEncyptor's <STRONG><SPAN style="FONT-FAMILY: 'Verdana','sans-serif'">hash</SPAN></STRONG> method. Instead there's a hardcoded 1024.<BR><BR></SPAN></P>
<P class=MsoNormal><SPAN style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">Good catch. This has been fixed so the hash iterations are configurable now.&nbsp; Thanks!</SPAN></P>
<P class=MsoNormal><SPAN style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"></SPAN>&nbsp;</P>
<P class=MsoNormal><SPAN style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">--Jeff</SPAN></P>
<P class=MsoNormal><SPAN style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"></SPAN>&nbsp;</P></DIV></DIV>
<P>
<HR>

<P></P>_______________________________________________<BR>OWASP-ESAPI mailing list<BR>OWASP-ESAPI@lists.owasp.org<BR>https://lists.owasp.org/mailman/listinfo/owasp-esapi<BR></BLOCKQUOTE></DIV></BODY></HTML>