I think this is a great idea and one that OWASP is uniquely position to make it happen.<div><br></div><div>This goes to the heart of what we are trying to do at OWASP since it will help to improve the visibility of an website&#39;s security.</div>
<div><br></div><div>But before you continue reading the rest of this post, if you are not aware of PayPal&#39;s guidelines for external security researchers, please go and read this <a href="https://www.paypal.com/us/cgi-bin/webscr?cmd=xpt/Marketing/securitycenter/general/ReportingSecurityIssues-outside">https://www.paypal.com/us/cgi-bin/webscr?cmd=xpt/Marketing/securitycenter/general/ReportingSecurityIssues-outside</a> (which is linked from <a href="https://www.paypal.com/us/cgi-bin/webscr?cmd=xpt/cps/securitycenter/general/UsefulLinks-outside">https://www.paypal.com/us/cgi-bin/webscr?cmd=xpt/cps/securitycenter/general/UsefulLinks-outside</a>)</div>
<div><br></div><div>Here is what I like about this schema:</div><div><ul><li>(probably the most important) this is NOT dependent on the website&#39;s collaboration or participation (i.e. we can implement this independently)</li>
<li>It promotes good behavior and security awareness from the website&#39;s owner</li><li>it allows OWASP to raise the bar of entire sections of the online industry, since once we have a number of websites that follow the proposed guidelines, then their competitors will have &#39;market pressure&#39; to follow it</li>
<li>this is something that the entire OWASP community needs (from member companies, to individual members, to owasp leaders, to participants at our conferences or mailing lists). For example, I (as a web user) would like to know when I use a website about that website&#39;s security posture. Another good example was when OWASP had to chose a couple months ago which Online-Voting provider we used for our board elections. Since we were paying for that service, the website&#39;s security should had been part of the decision making process (and it wasn&#39;t since we had no visibility into that website&#39;s security)</li>
<li>this schema also allows to clarify what is the affected website&#39;s point of view regarding their multiple web applications. Let look at a couple examples:</li><ul><li>The <b>Full Disclosure</b> and <b>Fully Open</b> could be used on Sample Apps. For example the ones published with the Spring Framework (like JPetStore or PetClinc)</li>
<li>the <b>Responsible Disclosure </b>and<b> Open Code Review</b> could be used for Open Source applications (in fact the different between <b>Open Code Review</b> and <b>Fully Open</b> could be that for <span class="Apple-style-span" style="font-weight: bold; ">Fully Open </span>the tests can be executed into the actual live website versus a locally executed copy of the website (which will be possible when we have access the source code)</li>
<li>the <b>Responsible Disclosure </b>and<b> Open Test</b> is what PayPal is doing</li><li>the <b>Private Disclosure </b>could be used a first step for companies who want to leverage the good guys security knowledge (for example, a lot of us &#39;accidentally&#39; discover security vulnerabilities in websites but are not comfortable in reporting them since we are not sure how the website&#39;s owner would react (in fact in most cases we don&#39;t even know who to contact)). Another source of security issues for this is the XSSed database, or the google searches for the latest Flash/XSS vulnerability.</li>
<li>the <b>No Disclosure</b> is an interesting one since I don&#39;t expect that companies will &#39;officially&#39; embrace, but one we (OWASP) could apply based on that companies past behavior (past examples are: MySpace when it sued Sammy, BT with Daniel, the US Gov departments behind with the <span class="Apple-style-span" style="font-family: arial, sans-serif; font-size: 13px; border-collapse: collapse; white-space: pre-wrap; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px; ">Gary McKinnon case, etc...)</span></li>
<li><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse; white-space: pre-wrap; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;">Finally given the current &#39;hacking laws&#39; the <span class="Apple-style-span" style="font-size: 13px; "><b>OWASP “Trust Us” Insecurity Program – No testing + no disclosure</b> is what all public websites should be given by default. This would actually be a great way to visually show the current (bad) state of affairs</span></span></font></li>
<li><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse; white-space: pre-wrap; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;">For day to day browsing, a Firefox extension that checked the website&#39;s status would be a great way to expose this to a wider audience</span></font></li>
</ul></ul><div><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse; white-space: pre-wrap; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;">I&#39;m sure there is a number of tweaks we will need to do to the classification names, its definitions and the scenarios they cover. </span></font></div>
<div><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse; white-space: pre-wrap; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;"><br>
</span></font></div><div><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse; white-space: pre-wrap; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;">So I would say that the next step is for us to try to implement this, mark it as Beta for a while, and once it is working, officially launch it.</span></font></div>
<div><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse; white-space: pre-wrap; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;"><br>
</span></font></div><div><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse; white-space: pre-wrap; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;">Who wants to be the project leader?</span></font></div>
<div><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse; white-space: pre-wrap; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;"><br>
</span></font></div><div><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse; white-space: pre-wrap; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;">Dinis Cruz</span></font></div>
<div><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse; white-space: pre-wrap; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;"><br>
</span></font></div><div><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse; white-space: pre-wrap; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;"><br>
</span></font></div></div><div><br><div class="gmail_quote">2009/12/22  <span dir="ltr">&lt;<a href="mailto:loredana.mancini@business-e.it">loredana.mancini@business-e.it</a>&gt;</span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Hi,<br>
<br>
I am really interested in this project/idea, because my feeling is that it is something needed, but when speking with industries about these topics lots af doubts arise and it is not easy for them to accept this vision.<br>

<br>
Very often technical/expert people have to struggle with management, legal, administrative/ecc. to show the value of these activities and behaviour models.<br>
<br>
Microsoft as well,  started from far away to reach this point.....<br>
<br>
So I would like to be involved in this project, please let me know, bye Loredana<br>
Sent from my BlackBerry® wireless device<br>
<div class="im"><br>
-----Original Message-----<br>
From: &quot;Jeff Williams&quot; &lt;<a href="mailto:jeff.williams@owasp.org">jeff.williams@owasp.org</a>&gt;<br>
Date: Mon, 21 Dec 2009 21:08:53<br>
To: &lt;<a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a>&gt;<br>
Subject: Re: [Owasp-leaders] OWASP testing and disclosure levels<br>
<br>
</div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</blockquote></div><br><br clear="all"><br>
</div>