<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:blue;
        text-decoration:underline;}
span.StileMessaggioDiPostaElettronica18
        {mso-style-type:personal-reply;
        font-family:Arial;
        color:navy;}
@page Section1
        {size:595.3pt 841.9pt;
        margin:70.85pt 2.0cm 2.0cm 2.0cm;}
div.Section1
        {page:Section1;}
 /* List Definitions */
 @list l0
        {mso-list-id:1010181760;
        mso-list-template-ids:1637526936;}
@list l0:level1
        {mso-level-number-format:bullet;
        mso-level-text:\F0B7;
        mso-level-tab-stop:36.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l0:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:72.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
ol
        {margin-bottom:0cm;}
ul
        {margin-bottom:0cm;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=IT link=blue vlink=blue>

<div class=Section1>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>

<hr size=2 width="100%" align=center tabindex=-1>

</span></font></div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span style='font-size:10.0pt;
font-family:Tahoma;font-weight:bold'>Da:</span></font></b><font size=2
face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma'> dinis cruz
[mailto:dinis.cruz@owasp.org] <br>
<b><span style='font-weight:bold'>Inviato:</span></b> mercoledý 23 dicembre
2009 12.34<br>
<b><span style='font-weight:bold'>A:</span></b> loredana.mancini@business-e.it;
owasp-leaders@lists.owasp.org<br>
<b><span style='font-weight:bold'>Oggetto:</span></b> Re: [Owasp-leaders] R:
Re: OWASP testing and disclosure levels</span></font><o:p></o:p></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>I think this is a great idea and one that OWASP is uniquely position to
make it happen.<o:p></o:p></span></font></p>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>This goes to the heart of what we are trying to do at OWASP since it
will help to improve the visibility of an website's security.<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>But before you continue reading the rest of this post, if you are not
aware of PayPal's guidelines for external security researchers, please go and
read this <a
href="https://www.paypal.com/us/cgi-bin/webscr?cmd=xpt/Marketing/securitycenter/general/ReportingSecurityIssues-outside">https://www.paypal.com/us/cgi-bin/webscr?cmd=xpt/Marketing/securitycenter/general/ReportingSecurityIssues-outside</a>
(which is linked from&nbsp;<a
href="https://www.paypal.com/us/cgi-bin/webscr?cmd=xpt/cps/securitycenter/general/UsefulLinks-outside">https://www.paypal.com/us/cgi-bin/webscr?cmd=xpt/cps/securitycenter/general/UsefulLinks-outside</a>)<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Here is what I like about this schema:<o:p></o:p></span></font></p>

</div>

<div>

<ul type=disc>
 <li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;
     mso-list:l0 level1 lfo1'><font size=3 face="Times New Roman"><span
     style='font-size:12.0pt'>(probably the most important) this is NOT
     dependent on the website's collaboration or participation (i.e. we can
     implement this independently)<o:p></o:p></span></font></li>
 <li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;
     mso-list:l0 level1 lfo1'><font size=3 face="Times New Roman"><span
     style='font-size:12.0pt'>It promotes good behavior and security awareness
     from the website's owner<o:p></o:p></span></font></li>
 <li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;
     mso-list:l0 level1 lfo1'><font size=3 face="Times New Roman"><span
     style='font-size:12.0pt'>it allows OWASP to raise the bar of entire
     sections of the online industry, since once we have a number of websites
     that follow the proposed guidelines, then their competitors will have
     'market pressure' to follow it<o:p></o:p></span></font></li>
 <li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;
     mso-list:l0 level1 lfo1'><font size=3 face="Times New Roman"><span
     style='font-size:12.0pt'>this is something that the entire OWASP community
     needs (from member companies, to individual members, to owasp leaders, to
     participants at our conferences or mailing lists). For example, I (as a
     web user) would like to know when I use a website about that website's
     security posture. Another good example was when OWASP had to chose a
     couple months ago which Online-Voting provider we used for our board
     elections. Since we were paying for that service, the website's security
     should had been part of the decision making process (and it wasn't since we
     had no visibility into that website's security)<o:p></o:p></span></font></li>
 <li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;
     mso-list:l0 level1 lfo1'><font size=3 face="Times New Roman"><span
     style='font-size:12.0pt'>this schema also allows to clarify what is the
     affected website's point of view regarding their multiple web
     applications. Let look at a couple examples:<o:p></o:p></span></font></li>
</ul>

<ul type=disc>
 <ul type=circle>
  <li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:
      auto;mso-list:l0 level2 lfo1'><font size=3 face="Times New Roman"><span
      style='font-size:12.0pt'>The <b><span style='font-weight:bold'>Full
      Disclosure</span></b> and <b><span style='font-weight:bold'>Fully Open</span></b>
      could be used on Sample Apps. For example the ones published with the
      Spring Framework (like JPetStore or PetClinc)<o:p></o:p></span></font></li>
  <li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:
      auto;mso-list:l0 level2 lfo1'><font size=3 face="Times New Roman"><span
      style='font-size:12.0pt'>the <b><span style='font-weight:bold'>Responsible
      Disclosure </span></b>and<b><span style='font-weight:bold'>&nbsp;Open
      Code Review</span></b> could be used for Open Source applications (in
      fact the different between <b><span style='font-weight:bold'>Open Code
      Review</span></b> and <b><span style='font-weight:bold'>Fully Open</span></b>
      could be that for&nbsp;<span class=apple-style-span><b><span
      style='font-weight:bold'>Fully Open&nbsp;</span></b></span>the&nbsp;tests&nbsp;can&nbsp;be&nbsp;executed&nbsp;into&nbsp;the&nbsp;actual&nbsp;live&nbsp;website&nbsp;versus&nbsp;a&nbsp;locally&nbsp;executed&nbsp;copy&nbsp;of&nbsp;the&nbsp;website&nbsp;(which&nbsp;will&nbsp;be&nbsp;possible&nbsp;when&nbsp;we&nbsp;have&nbsp;access&nbsp;the&nbsp;source&nbsp;code)<o:p></o:p></span></font></li>
  <li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:
      auto;mso-list:l0 level2 lfo1'><font size=3 face="Times New Roman"><span
      style='font-size:12.0pt'>the&nbsp;<b><span style='font-weight:bold'>Responsible
      Disclosure&nbsp;</span></b>and<b><span style='font-weight:bold'>&nbsp;Open
      Test</span></b>&nbsp;is what PayPal is doing<o:p></o:p></span></font></li>
  <li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:
      auto;mso-list:l0 level2 lfo1'><font size=3 face="Times New Roman"><span
      style='font-size:12.0pt'>the <b><span style='font-weight:bold'>Private
      Disclosure </span></b>could be used a first step for companies who want
      to leverage the good guys security knowledge (for example, a lot of us
      'accidentally' discover security vulnerabilities in websites but are not
      comfortable in reporting them since we are not sure how the website's
      owner would react (in fact in most cases we don't even know who to
      contact)). Another source of security issues for this is the XSSed
      database, or the google searches for the latest Flash/XSS vulnerability.<o:p></o:p></span></font></li>
  <li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:
      auto;mso-list:l0 level2 lfo1'><font size=3 face="Times New Roman"><span
      style='font-size:12.0pt'>the <b><span style='font-weight:bold'>No
      Disclosure</span></b>&nbsp;is an interesting one since I don't expect
      that companies will 'officially' embrace, but one we (OWASP) could apply
      based on that companies past behavior (past examples are: MySpace when it
      sued Sammy, BT with Daniel, the US Gov departments behind with the&nbsp;</span></font><span
      style='white-space:pre-wrap;-webkit-border-horizontal-spacing: 2px;
      -webkit-border-vertical-spacing: 2px'><span class=apple-style-span><font
      size=2 face=Arial><span style='font-size:10.0pt;font-family:Arial'>Gary
      McKinnon case, etc...)</span></span></font></span><o:p></o:p></li>
  <li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:
      auto;mso-list:l0 level2 lfo1'><span class=apple-style-span><font size=3
      face=Arial><span style='white-space:pre-wrap;-webkit-border-horizontal-spacing: 2px;
      -webkit-border-vertical-spacing: 2px'><span style='font-size:12.0pt;
      font-family:Arial'>Finally given the current 'hacking laws' the </span></font></span><span
      class=apple-style-span><b><font size=2 face=Arial><span style='font-size:
      10.0pt;font-family:Arial;font-weight:bold'>OWASP &#8220;Trust Us&#8221; Insecurity
      Program &#8211; No testing + no disclosure</span></font></b></span><span
      class=apple-style-span><font size=2 face=Arial><span style='font-size:
      10.0pt;font-family:Arial'> is what all public websites should be given by
      default. This would actually be a great way to visually show the current
      (bad) state of affairs</span></span></font></span><o:p></o:p></li>
  <li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:
      auto;mso-list:l0 level2 lfo1'><span class=apple-style-span><font size=3
      face=Arial><span style='white-space:pre-wrap;-webkit-border-horizontal-spacing: 2px;
      -webkit-border-vertical-spacing: 2px'><span style='font-size:12.0pt;
      font-family:Arial'>For day to day browsing, a Firefox extension that
      checked the website's status would be a great way to expose this to a
      wider audience</span></span></font></span><o:p></o:p></li>
 </ul>
</ul>

<div>

<p class=MsoNormal><span class=apple-style-span><font size=3 face=Arial><span
style='white-space:pre-wrap;-webkit-border-horizontal-spacing: 2px;-webkit-border-vertical-spacing: 2px'><span
style='font-size:12.0pt;font-family:Arial'>I'm sure there is a number of tweaks
we will need to do to the classification names, its definitions and the
scenarios they cover.&nbsp;</span></span></font></span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><font size=3 face=Arial><span style='white-space:pre-wrap;
-webkit-border-horizontal-spacing: 2px;-webkit-border-vertical-spacing: 2px'><span
style='font-size:12.0pt;font-family:Arial'><br>
<br>
</span></font><o:p></o:p></p>

</div>

</span>

<div>

<p class=MsoNormal><span class=apple-style-span><font size=3 face=Arial><span
style='white-space:pre-wrap;-webkit-border-horizontal-spacing: 2px;-webkit-border-vertical-spacing: 2px'><span
style='font-size:12.0pt;font-family:Arial'>So I would say that the next step is
for us to try to implement this, mark it as Beta for a while, and once it is
working, officially launch it.</span></span></font></span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><font size=3 face=Arial><span style='white-space:pre-wrap;
-webkit-border-horizontal-spacing: 2px;-webkit-border-vertical-spacing: 2px'><span
style='font-size:12.0pt;font-family:Arial'><br>
<br>
</span></font><o:p></o:p></p>

</div>

</span>

<div>

<p class=MsoNormal><span class=apple-style-span><font size=3 face=Arial><span
style='white-space:pre-wrap;-webkit-border-horizontal-spacing: 2px;-webkit-border-vertical-spacing: 2px'><span
style='font-size:12.0pt;font-family:Arial'>Who wants to be the project leader?</span></span></font></span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><font size=3 face=Arial><span style='white-space:pre-wrap;
-webkit-border-horizontal-spacing: 2px;-webkit-border-vertical-spacing: 2px'><span
style='font-size:12.0pt;font-family:Arial'><br>
<br>
</span></font><o:p></o:p></p>

</div>

</span>

<div>

<p class=MsoNormal><span class=apple-style-span><font size=3 face=Arial><span
style='white-space:pre-wrap;-webkit-border-horizontal-spacing: 2px;-webkit-border-vertical-spacing: 2px'><span
style='font-size:12.0pt;font-family:Arial'>Dinis Cruz</span></span></font></span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><font size=3 face=Arial><span style='white-space:pre-wrap;
-webkit-border-horizontal-spacing: 2px;-webkit-border-vertical-spacing: 2px'><span
style='font-size:12.0pt;font-family:Arial'><br>
<br>
</span></font><o:p></o:p></p>

</div>

</span>

<div>

<p class=MsoNormal><font size=3 face=Arial><span style='white-space:pre-wrap;
-webkit-border-horizontal-spacing: 2px;-webkit-border-vertical-spacing: 2px'><span
style='font-size:12.0pt;font-family:Arial'><br>
<br>
</span></font><o:p></o:p></p>

</div>

</div>

</span>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>2009/12/22 &lt;<a href="mailto:loredana.mancini@business-e.it">loredana.mancini@business-e.it</a>&gt;<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Hi,<br>
<br>
I am really interested in this project/idea, because my feeling is that it is
something needed, but when speking with industries about these topics lots af
doubts arise and it is not easy for them to accept this vision.<br>
<br>
Very often technical/expert people have to struggle with management, legal,
administrative/ecc. to show the value of these activities and behaviour models.<br>
<br>
Microsoft as well, &nbsp;started from far away to reach this point.....<br>
<br>
So I would like to be involved in this project, please let me know, bye
Loredana<br>
Sent from my BlackBerry« wireless device<o:p></o:p></span></font></p>

<div>

<p class=MsoNormal style='margin-bottom:12.0pt'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'><br>
-----Original Message-----<br>
From: &quot;Jeff Williams&quot; &lt;<a href="mailto:jeff.williams@owasp.org">jeff.williams@owasp.org</a>&gt;<br>
Date: Mon, 21 Dec 2009 21:08:53<br>
To: &lt;<a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a>&gt;<br>
Subject: Re: [Owasp-leaders] OWASP testing and disclosure levels<o:p></o:p></span></font></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></span></font></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><br>
<br clear=all>
<o:p></o:p></span></font></p>

</div>

</div>

</body>

</html>