<HTML><HEAD></HEAD>
<BODY dir=ltr bgColor=#ffffff>
<DIV dir=ltr>
<DIV style="FONT-FAMILY: 'Calibri'; COLOR: #000000; FONT-SIZE: 12pt">
<DIV>As a thought, should the Output Encryption section be rolled into the Input 
Validation section? The reason I ask is that Input Validation uses Constrain, 
Reject and Sanitize as steps in a process. Output Encoding is part of the 
sanitization and constraining processes. Just a thought.</DIV>
<DIV 
style="FONT-STYLE: normal; DISPLAY: inline; FONT-FAMILY: 'Calibri'; COLOR: #000000; FONT-SIZE: small; FONT-WEIGHT: normal; TEXT-DECORATION: none">
<DIV style="FONT: 10pt tahoma">
<DIV> </DIV>
<DIV style="BACKGROUND: #f5f5f5">
<DIV style="font-color: black"><B>From:</B> <A title=jim.manico@owasp.org 
href="mailto:jim.manico@owasp.org">Jim Manico</A> </DIV>
<DIV><B>Sent:</B> Thursday, May 17, 2012 2:40 AM</DIV>
<DIV><B>To:</B> <A title=abraham.kang@owasp.org 
href="mailto:abraham.kang@owasp.org">Abraham Kang</A> </DIV>
<DIV><B>Cc:</B> <A title=owasp-guide@lists.owasp.org 
href="mailto:owasp-guide@lists.owasp.org">owasp-guide@lists.owasp.org</A> </DIV>
<DIV><B>Subject:</B> Re: [Owasp-guide] Volunteering for Output Encoding 
Chapter</DIV></DIV></DIV>
<DIV> </DIV></DIV>
<DIV 
style="FONT-STYLE: normal; DISPLAY: inline; FONT-FAMILY: 'Calibri'; COLOR: #000000; FONT-SIZE: small; FONT-WEIGHT: normal; TEXT-DECORATION: none">
<DIV>Totally fair. It's just that we need a lot more than just OE to stop 
XSS...</DIV>
<DIV>
<DIV> </DIV>
<DIV>--</DIV>
<DIV>Jim Manico</DIV>
<DIV>VP, Security Architecture</DIV>
<DIV>WhiteHat Security</DIV>
<DIV>(808) 652-3805</DIV></DIV>
<DIV><BR>On May 16, 2012, at 9:02 PM, Abraham Kang <<A 
href="mailto:abraham.kang@owasp.org">abraham.kang@owasp.org</A>> 
wrote:<BR><BR></DIV>
<DIV></DIV>
<BLOCKQUOTE type="cite">
  <DIV>
  <P>I think output encoding can apply to any executable context including 
  command line output, xml, shell script, sql.  If the chapter is to 
  focused on xss, I can modify it.</P>
  <P>--Abe </P>
  <DIV class=gmail_quote>On May 14, 2012 8:10 PM, "Jim Manico" <<A 
  href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</A>> wrote:<BR 
  type="attribution">
  <BLOCKQUOTE 
  style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" 
  class=gmail_quote>
    <DIV text="#000000" bgcolor="#FFFFFF">Abe,<BR><BR>Can we rename the output 
    encoding section and call it "XSS Prevention" instead?<BR><BR>Complete XSS 
    prevention requires validation, HTML policy validation, proper JSON parsing 
    and a host of other techniques other than just output encoding. 
    <BR><BR>Fair? Interested?<BR><BR>Aloha,<BR>Jim<BR><BR><BR>
    <BLOCKQUOTE type="cite"><PRE>I want to volunteer to take the Output Encoding Chapter.  I added the
chapter a while ago but it has been sitting idle.

The content is pretty much done but may need minor reorganization.

Regards,
Abe

</PRE><BR>
      <FIELDSET></FIELDSET> <BR><PRE>_______________________________________________
Owasp-guide mailing list
<A href="mailto:Owasp-guide@lists.owasp.org" target=_blank>Owasp-guide@lists.owasp.org</A>
<A href="https://lists.owasp.org/mailman/listinfo/owasp-guide" target=_blank>https://lists.owasp.org/mailman/listinfo/owasp-guide</A>
</PRE></BLOCKQUOTE><BR><BR>
    <DIV>-- <BR>Jim Manico<BR><BR>Connections Committee Chair<BR>Cheatsheet 
    Series Product Manager<BR>OWASP Podcast Producer/Host<BR><BR><A 
    href="mailto:jim@owasp.org" target=_blank>jim@owasp.org</A><BR><A 
    href="http://www.owasp.org" 
  target=_blank>www.owasp.org</A></DIV></DIV></BLOCKQUOTE></DIV></DIV></BLOCKQUOTE>
<P>
<HR>
_______________________________________________<BR>Owasp-guide mailing 
list<BR>Owasp-guide@lists.owasp.org<BR>https://lists.owasp.org/mailman/listinfo/owasp-guide<BR></DIV></DIV></DIV></BODY></HTML>