<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";
        color:black;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        color:black;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;
        color:black;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body bgcolor=white lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>A facebook ESAPI that allows developers to easily meet level
2ish of ASVS would be ridiculously great Mike. In fact, if someone could go
through ASVS level 2 and determine what parts of it are met by Facebook itself,
and what parts are the app developer&#8217;s responsibility, that would be a great
first step. And then their ESAPI should help them meet the parts that the
developer has to do.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Of course, a good first step, would be for someone to review
Facebook itself to see if it itself meets ASVS level 2. Maybe we should ask
them to do a self assessment as a first step. And if they are open to stuff,
maybe they would be open to publishing their results, after fixing any deficiencies
they identify first, of course.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>My 2 cents, anyway.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>-Dave<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";
color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:
"Tahoma","sans-serif";color:windowtext'> owasp-leaders-bounces@lists.owasp.org
[mailto:owasp-leaders-bounces@lists.owasp.org] <b>On Behalf Of </b>Jim Manico<br>
<b>Sent:</b> Wednesday, December 30, 2009 7:27 PM<br>
<b>To:</b> mike.boberski@gmail.com; owasp-leaders@lists.owasp.org<br>
<b>Subject:</b> Re: [Owasp-leaders] Facebook<o:p></o:p></span></p>

</div>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal>&gt; This is a frustration to me, as a case study for lack
of better way to put it, seeing which OWASP materials are being referenced and
how.<br>
<br>
I understand your frustration. But please note, Facebook is very receptive to
these ideas. You just need to ask. Let's talk offline, and I'll work with you
to communicate these suggestions to Facebook.<br>
<br>
I've already talked to the Facebook Security team about ESAPI, they are
reviewing it now. They do have a good deal of security built into the core
Facebook connect API's - and these are constantly evolving. I'm sure we could
help more. On many levels.<br>
<br>
So no need to lament, Mike. This is the start of something good!<br>
<br>
- Jim<br>
<br>
<br>
<o:p></o:p></p>

<p class=MsoNormal style='margin-bottom:12.0pt'>Since you ask...<br>
<br>
This is a frustration to me, as a case study for lack of better way to put it,
seeing which OWASP materials are being referenced and how. Certain messages
aren't getting out in my mind, reading over that wiki page.<br>
<br>
The Top 10 is a data sheet, it is not a baseline set of security requirements,
nor is it a standard to implement something to comply with. The cheat sheets
are guidance for overcoming very specific atomic items. Pointing someone to the
development guide w/o saying which sections are relevant is like telling
someone to read an encyclopedia A-Z. What security activities are being done
during their SDLC? Etc.....<br>
<br>
First, I think Facebook needs to be straightened out a little bit in this
regard. ASVS exists now, so people need to start using it, where they had
previously been using the Top 10 in an inappropriate way. Second, I propose
exploring whether or not what Facebook really needs/asking for is an ESAPI.<br>
<br>
Mike<br>
<br>
<o:p></o:p></p>

<div>

<p class=MsoNormal>On Wed, Dec 30, 2009 at 5:00 PM, Jim Manico &lt;<a
href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt; wrote:<o:p></o:p></p>

<p class=MsoNormal>Hello Leaders,<br>
<br>
I recently noticed that the OWASP Top Ten was being referenced on<br>
Facebook's developer platform wiki at<br>
<a href="http://wiki.developers.facebook.com/index.php/Platform_Security"
target="_blank">http://wiki.developers.facebook.com/index.php/Platform_Security</a>
- pretty<br>
cool.<br>
<br>
This triggered a conversation with Pete Bratach and Ryan &nbsp;McGeehan from<br>
the Facebook security team about a deeper relationship between Facebook<br>
and OWASP. They also brought their partners, iSec (folks who know the<br>
Facebook platform very well) into the conversation.<br>
<br>
Facebook would like OWASP to host and develop a series of wiki pages on<br>
the topic on helping developers write secure Facebook applications. One<br>
this is rolling, Facebook would prominently link to those pages from the<br>
Facebook developer portal. The traffic and awareness potential is<br>
significant.<br>
<br>
Facebook also seems to have a progressive security research policy in<br>
place (modeled after PayPals) at<br>
<a href="http://www.facebook.com/security#/security?v=app_6009294086"
target="_blank">http://www.facebook.com/security#/security?v=app_6009294086</a><br>
<br>
What do you think leaders?<br>
<br>
- Jim Manico<br>
OWASP ESAPI Project Manager<br>
<a href="http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API"
target="_blank">http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API</a><br>
<br>
OWASP Podcast Host/Producer<br>
<a href="http://www.owasp.org/index.php/OWASP_Podcast" target="_blank">http://www.owasp.org/index.php/OWASP_Podcast</a><br>
<br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></p>

</div>

<p class=MsoNormal><br>
<br>
<o:p></o:p></p>

<pre><o:p>&nbsp;</o:p></pre><pre><o:p>&nbsp;</o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>OWASP-Leaders mailing list<o:p></o:p></pre><pre><a
href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><o:p></o:p></pre><pre><a
href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></pre><pre>&nbsp; <o:p></o:p></pre>

<p class=MsoNormal><br>
<br>
<br>
<o:p></o:p></p>

<pre>-- <o:p></o:p></pre><pre><o:p>&nbsp;</o:p></pre><pre>- Jim Manico<o:p></o:p></pre><pre>OWASP ESAPI Project Manager<o:p></o:p></pre><pre><a
href="http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API">http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API</a><o:p></o:p></pre><pre><o:p>&nbsp;</o:p></pre><pre>OWASP Podcast Host/Producer<o:p></o:p></pre><pre><a
href="http://www.owasp.org/index.php/OWASP_Podcast">http://www.owasp.org/index.php/OWASP_Podcast</a><o:p></o:p></pre></div>

</body>

</html>