forwarded this message to this list because it bounced from the securityfocus list. <br>
<br>
Is there a thread on this allready elsewhere?<br>
<br><br>---------- Forwarded message ----------<br><span class="gmail_quote">From: <b class="gmail_sendername">Andre Ludwig</b> &lt;<a href="mailto:andre.ludwig@gmail.com">andre.ludwig@gmail.com</a>&gt;<br>Date: Jul 13, 2005 9:57 AM
<br>Subject: Re: OWASP Top Ten - dev process<br>To: Devdas Bhagat &lt;<a href="mailto:devdas@dvb.homelinux.org">devdas@dvb.homelinux.org</a>&gt;, <a href="mailto:webappsec@securityfocus.com">webappsec@securityfocus.com</a>
<br><br></span>How about a top 10 of top 10's? &lt;/ sarcasm&gt;<br>
<br>
The top 10 is fine for what it was meant to do (raise awareness of
issues faced by organizations).&nbsp;&nbsp; Could it be expanded?&nbsp;
Yes, it could end up being the top1000 if we wanted it to be.&nbsp;
Should it be? No<br>
<br>
As far as doing a top10 practices, top10 development issues, top10
system issues, top10 top10, etc.. i think it will quickly serve to
distract rather to help guide..&nbsp; If anything maybe we should look
at a top10 RESOURCES for web security, then simply choose the top 10
resources for common issues faced by web application teams.&nbsp;&nbsp;
This could serve to not only insulate the top10 from l33t 0-dayz
sploits but also give it more &quot;weight&quot; (as the resources used could be
elventeen billion page white papers discussing how to code a web
application in FORTRAN).&nbsp; All humour aside i think that would be a
much more useful aid for the desk sniffing pointy haired bosses of the
world who barely understand what a database is (dont act like you dont
know at least 10 of those).&nbsp; At the same time it could also serve
as a library for those more advanced web developers who maybe never had
to focus on secure practices, secure coding, secure *insert buzz word
here*.&nbsp; I think such a top10 resource list as well as the top10 as
it is now would serve each other rather well.&nbsp; Lets face it
webappsecurity is anything but a &quot;top10&quot; issue..<br>
<br>
Dre<div><span class="e" id="q_105107c7db007dd1_1"><br><br><div><span class="gmail_quote">On 7/13/05, <b class="gmail_sendername">Devdas Bhagat</b> &lt;<a href="mailto:devdas@dvb.homelinux.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
devdas@dvb.homelinux.org</a>&gt; wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On 13/07/05 11:40 +1000, Michael Silk wrote:<br>&gt;<br>&gt; But isn't the the _whole point_ of a &quot;Top Ten&quot; is that it quickly and<br>&gt; easily lists the 'visible' problems [i.e not the cause]?<br>&gt;<br>&gt; I mean, you could make it a Top 2 otherwise:
<br>&gt; 1) Bad Programming<br>&gt; 2) Bad Design<br>&gt;<br>Top Three:<br>3&gt; Bad Programmers.<br><br>&gt; ...<br>&gt;<br>&gt; It covers everything; easy to interpret and hence fail or pass as you like.<br>&gt;<br>&gt; imho an OWASP &quot;Top Ten&quot; shouldn't really cover _my_ development
<br>&gt; procedures; only the problems exposed by them.<br>&gt;<br>IMHO, we need a top ten problems and a top ten bad practices list.<br>That would help a lot more.<br><br>Devdas Bhagat<br></blockquote></div><br>

</span></div>