<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Hi there,<div><br></div><div>Can I please assign you the session management chapter?&nbsp;</div><div><br></div><div>It needs some TLC - as in a near total re-write. Do&nbsp;<b>not</b>&nbsp;discuss attacks or vulnerabilities - these are discussed at length in the other two Guides, but only include what a&nbsp;<b>developer</b>&nbsp;or an&nbsp;<b>architect</b>&nbsp;or&nbsp;<b>dev lead</b>&nbsp;<b><i>needs to *do*</i></b>&nbsp;to use sessions safely.&nbsp;</div><div><br></div><div>This should be the outline (feel free to re-order):</div><div><br></div><div>* Architectural Goals - write last, I can help if you get stuck</div><div>* Use only the frameworks session manager</div><div>* Ensure idle, absolute timeouts are as short as practical</div><div>* Store privileged state only on trusted devices (not on the client)</div><div>* Ensure all pages have a logout button, and that it works effectively (describe how to do this - and use ESAPI as a code example)</div><div>* Rotate session IDs on transition to SSL, login, privileged actions (high value apps), and upon logout&nbsp;</div><div>* Ensure session re-writing is off (e.g. c:url in J2EE, describe configuration items in PHP, .NET, J2EE, etc)</div><div>* Ensure session IDs are never logged</div><div>* Ensure that session failures are logged properly so they can be tracked</div><div>* Things not to do (if necessary)</div><div>* References - definitely include links to the ADSR session management nodes, Testing and Code Review Guides, and the Top 10 2007's A7, but feel free to include others as you see fit.&nbsp;</div><div><br></div><div>Please look at the Authentication chapter - I've re-written it last week to be the new style. Where a control is a bit onerous, consider using MAY for low value apps, SHOULD for medium value apps, and MUST for high value apps. I've done that a bit in the Authentication re-write, and it will be a continuing theme throughout the Developer Guide, so that the Developer Guide scales from low value / small dev teams through to high value / large dev teams.&nbsp;</div><div><br></div><div>UML sequence diagrams, particularly for the logout phase, are welcome.&nbsp;</div><div><br></div><div>Code examples should use ESAPI. There's ESAPI for PHP coming along, so if you want to help finish the session bits of ESAPI for PHP so your code snippets work, let me know as I'm the project leader for that effort too. If you need some of ESAPI for PHP to exist or for me to document how it will work (as most of it is missing :-), let me know and I'll try to polish that code enough to allow you to write working example code.&nbsp;</div><div><div><br></div><div>I'd suggest writing the new material at the top of the page, keeping the old stuff until we're ready to delete it. Feel free to re-use the old material if that helps speed things up, but remember, we're not keeping any of the material about attacks. As long as the old material supports the new mission, we're okay! :-)&nbsp;</div><div><br></div><div>Let me know when you're ready for a review, or if you get stuck.&nbsp;</div><div><br></div></div><div>thanks,</div><div>Andrew</div><div><br><div><div>On Nov 21, 2008, at 10:00 PM, Timothy McGuire wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">I'd like to help with the guide and since I'm new, I'd like to start with small assignments and work my way up from there.&nbsp; So, tell me what to do and I'll do it.<br><br>Thanks,<br><br>Tim McGuire.<br><a href="http://www.phpsolvent.com/wordpress">http://www.phpsolvent.com/wordpress</a><br>_______________________________________________<br>Owasp-guide mailing list<br><a href="mailto:Owasp-guide@lists.owasp.org">Owasp-guide@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-guide">https://lists.owasp.org/mailman/listinfo/owasp-guide</a><br></blockquote></div><br><div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div><br class="Apple-interchange-newline">thanks,</div><div><div>Andrew van der Stock</div><div>Lead Author, OWASP Guide and OWASP Top 10</div></div></div><div><br class="webkit-block-placeholder"></div></div><br class="Apple-interchange-newline"></div></div></div></div></body></html>