<div dir="ltr">I can also help with editing, if needed.<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Mar 28, 2013 at 8:15 AM, Tom Stripling <span dir="ltr"><<a href="mailto:tstripling@gmail.com" target="_blank">tstripling@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>I'd like to work on output encoding as well.<span class="HOEnZb"><font color="#888888"><br><br>
</font></span></div><span class="HOEnZb"><font color="#888888">Tom<br></font></span></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Mar 28, 2013 at 5:10 AM, Paco Schiaffella <span dir="ltr"><<a href="mailto:schiaffella@gmail.com" target="_blank">schiaffella@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
    I would like to join the input validation chapter too. (but if a<br>
team of two can be enough for now, I also like the output encoding<br>
chapter)<br>
<br>
<br>
Thanks,<br>
Paco<br>
<br>
<br>
2013/3/28  <<a href="mailto:Anand_Jayaraman1@dell.com" target="_blank">Anand_Jayaraman1@dell.com</a>>:<br>
<div><div>> Great to see more people wanting to team up on Input Validation.<br>
><br>
><br>
><br>
> Arief: Lets team up we can start with sharing our skype ids<br>
> (anand-jayaraman) or gmail ids (<a href="mailto:anand201301@gmail.com" target="_blank">anand201301@gmail.com</a>) so that it is easy to<br>
> collaborate. If you feel there are better ways we can use that medium.<br>
><br>
><br>
><br>
> Regards,<br>
><br>
> Anand<br>
><br>
><br>
><br>
> From: Lathifah Arief [mailto:<a href="mailto:lathifah.arief@gmail.com" target="_blank">lathifah.arief@gmail.com</a>]<br>
> Sent: Thursday, March 28, 2013 6:53 AM<br>
> To: Jayaraman1, Anand<br>
> Cc: <a href="mailto:owasp-guide@lists.owasp.org" target="_blank">owasp-guide@lists.owasp.org</a>; vanderaj vanderaj; <a href="mailto:kevin.w.wall@gmail.com" target="_blank">kevin.w.wall@gmail.com</a>;<br>
> <a href="mailto:abraham.kang@owasp.org" target="_blank">abraham.kang@owasp.org</a><br>
> Subject: Re: [Owasp-guide] Prioritised chapters<br>
><br>
><br>
><br>
> Hi, I'm interested in input validation too... if you guys dont mind to have<br>
> me in team, for sure :-)<br>
><br>
> On Mar 27, 2013 2:50 PM, <<a href="mailto:Anand_Jayaraman1@dell.com" target="_blank">Anand_Jayaraman1@dell.com</a>> wrote:<br>
><br>
> Hi,<br>
><br>
><br>
><br>
> I would like to volunteer for<br>
><br>
><br>
><br>
> Input Validation<br>
><br>
> <a href="http://www.gaiabb.com/wiki/index.php/DG-B06-INPVAL" target="_blank">http://www.gaiabb.com/wiki/index.php/DG-B06-INPVAL</a><br>
><br>
><br>
><br>
> Since I understand it is going to be a team of 3 or more per chapter. I<br>
> would like have to some more folks to team up with.<br>
><br>
><br>
><br>
> Regards,<br>
><br>
> Anand<br>
><br>
><br>
><br>
> From: <a href="mailto:owasp-guide-bounces@lists.owasp.org" target="_blank">owasp-guide-bounces@lists.owasp.org</a><br>
> [mailto:<a href="mailto:owasp-guide-bounces@lists.owasp.org" target="_blank">owasp-guide-bounces@lists.owasp.org</a>] On Behalf Of vanderaj vanderaj<br>
> Sent: Wednesday, March 27, 2013 8:51 AM<br>
> To: <a href="mailto:owasp-guide@lists.owasp.org" target="_blank">owasp-guide@lists.owasp.org</a>; Kevin W. Wall<br>
> Cc: Abraham Kang<br>
> Subject: [Owasp-guide] Prioritised chapters<br>
><br>
><br>
><br>
> Hi there,<br>
><br>
><br>
><br>
> I'm very pleased with the response I got privately and to this list, so<br>
> let's get it happening without further delay. What I aim to do this time<br>
> differently is lead the big chapters as editor, and work on some of the<br>
> smaller chapters personally, like testing and so on.<br>
><br>
><br>
><br>
> There's a lot of chapters that need writing, but we're not getting far with<br>
> the current approach, so let's focus on delivering four core chapters first<br>
> as group led sub-projects, and then circle around and write the next four as<br>
> resources become available.<br>
><br>
><br>
><br>
> Can folks volunteer for one of the four chapters:<br>
><br>
><br>
><br>
> Authentication<br>
><br>
> <a href="http://www.gaiabb.com/wiki/index.php/DG-B03-AUTHN" target="_blank">http://www.gaiabb.com/wiki/index.php/DG-B03-AUTHN</a><br>
><br>
><br>
><br>
> Access Control<br>
><br>
> <a href="http://www.gaiabb.com/wiki/index.php/DG-B05-AUTHZ" target="_blank">http://www.gaiabb.com/wiki/index.php/DG-B05-AUTHZ</a><br>
><br>
><br>
><br>
> Input Validation<br>
><br>
> <a href="http://www.gaiabb.com/wiki/index.php/DG-B06-INPVAL" target="_blank">http://www.gaiabb.com/wiki/index.php/DG-B06-INPVAL</a><br>
><br>
><br>
><br>
> Output Encoding<br>
><br>
> <a href="http://www.gaiabb.com/wiki/index.php/DG-B07-OUTENC" target="_blank">http://www.gaiabb.com/wiki/index.php/DG-B07-OUTENC</a><br>
><br>
><br>
><br>
> I'd ideally like to see teams of two or three or more for each chapter.<br>
> Let's write a draft and we'll polish and edit from there.<br>
><br>
><br>
><br>
> There are specific things I want each chapter to hit. Each documented<br>
> control should be comprehensive, concise and readable, preferably have good<br>
> flows documented using UML swim lane diagrams and pictures, and a list of<br>
> anti-patterns at the end.<br>
><br>
><br>
><br>
> I will be holding out for a higher standard than many currently practice -<br>
> we need to lead, not document common worst practice.<br>
><br>
><br>
><br>
> For example in authentication, we will not be documenting password recovery<br>
> using questions and answers as I firmly believe these to be a strong<br>
> anti-pattern. In input validation, we will be using positive validation as<br>
> the first choice right through to no validation, but we should always prefer<br>
> positive validation. Output encoding should be encouraging the encoding of<br>
> all non-literals, even if it's (currently) safe to not encode them. This is<br>
> how ESAPI does it, for example.<br>
><br>
><br>
><br>
> +Kevin Wall - as you requested a long time ago, let's have that G+<br>
> discussion on the crypto chapter. I totally agree it needs to be different<br>
> than the ASVS outline. I would like you to lead the re-development of that<br>
> chapter, and to bring in people you feel that could help you write it to the<br>
> standards you want to see.<br>
><br>
><br>
><br>
> thanks,<br>
><br>
> Andrew<br>
><br>
><br>
> _______________________________________________<br>
> Owasp-guide mailing list<br>
> <a href="mailto:Owasp-guide@lists.owasp.org" target="_blank">Owasp-guide@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/owasp-guide" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-guide</a><br>
><br>
><br>
> _______________________________________________<br>
> Owasp-guide mailing list<br>
> <a href="mailto:Owasp-guide@lists.owasp.org" target="_blank">Owasp-guide@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/owasp-guide" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-guide</a><br>
><br>
_______________________________________________<br>
Owasp-guide mailing list<br>
<a href="mailto:Owasp-guide@lists.owasp.org" target="_blank">Owasp-guide@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-guide" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-guide</a><br>
</div></div></blockquote></div><br></div>
</div></div></blockquote></div><br></div>