<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:p="urn:schemas-microsoft-com:office:powerpoint" xmlns:a="urn:schemas-microsoft-com:office:access" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:s="uuid:BDC6E3F0-6DA3-11d1-A2A3-00AA00C14882" xmlns:rs="urn:schemas-microsoft-com:rowset" xmlns:z="#RowsetSchema" xmlns:b="urn:schemas-microsoft-com:office:publisher" xmlns:ss="urn:schemas-microsoft-com:office:spreadsheet" xmlns:c="urn:schemas-microsoft-com:office:component:spreadsheet" xmlns:odc="urn:schemas-microsoft-com:office:odc" xmlns:oa="urn:schemas-microsoft-com:office:activation" xmlns:html="http://www.w3.org/TR/REC-html40" xmlns:q="http://schemas.xmlsoap.org/soap/envelope/" xmlns:rtc="http://microsoft.com/officenet/conferencing" xmlns:D="DAV:" xmlns:Repl="http://schemas.microsoft.com/repl/" xmlns:mt="http://schemas.microsoft.com/sharepoint/soap/meetings/" xmlns:x2="http://schemas.microsoft.com/office/excel/2003/xml" xmlns:ppda="http://www.passport.com/NameSpace.xsd" xmlns:ois="http://schemas.microsoft.com/sharepoint/soap/ois/" xmlns:dir="http://schemas.microsoft.com/sharepoint/soap/directory/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:dsp="http://schemas.microsoft.com/sharepoint/dsp" xmlns:udc="http://schemas.microsoft.com/data/udc" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:sub="http://schemas.microsoft.com/sharepoint/soap/2002/1/alerts/" xmlns:ec="http://www.w3.org/2001/04/xmlenc#" xmlns:sp="http://schemas.microsoft.com/sharepoint/" xmlns:sps="http://schemas.microsoft.com/sharepoint/soap/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:udcs="http://schemas.microsoft.com/data/udc/soap" xmlns:udcxf="http://schemas.microsoft.com/data/udc/xmlfile" xmlns:udcp2p="http://schemas.microsoft.com/data/udc/parttopart" xmlns:wf="http://schemas.microsoft.com/sharepoint/soap/workflow/" xmlns:dsss="http://schemas.microsoft.com/office/2006/digsig-setup" xmlns:dssi="http://schemas.microsoft.com/office/2006/digsig" xmlns:mdssi="http://schemas.openxmlformats.org/package/2006/digital-signature" xmlns:mver="http://schemas.openxmlformats.org/markup-compatibility/2006" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns:mrels="http://schemas.openxmlformats.org/package/2006/relationships" xmlns:spwp="http://microsoft.com/sharepoint/webpartpages" xmlns:ex12t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:ex12m="http://schemas.microsoft.com/exchange/services/2006/messages" xmlns:pptsl="http://schemas.microsoft.com/sharepoint/soap/SlideLibrary/" xmlns:spsl="http://microsoft.com/webservices/SharePointPortalServer/PublishedLinksService" xmlns:Z="urn:schemas-microsoft-com:" xmlns:st="&#1;" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle18
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle19
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle20
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle21
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=EN-US link=blue vlink=purple>

<div class=WordSection1>

<p class=MsoNormal><span style='color:#1F497D'>Sorry, I hit send accidentally
there. The 2<sup>nd</sup> last paragraph should read:<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>The simplest example of this is
looking at ESAPI tag libraries in java &#8211; e.g. &lt;esapi:encodeForJavaScript&gt;${unsafeval}&lt;/
esapi: encodeForJavaScript &gt; versus simply having &lt;c:out value=&#8221;${unsafeval}&#8221;&gt;<i>understand</i>
that it&#8217;s in JavaScript context and encode for JavaScript automatically.
In other words, application developers are blissfully unaware that their code
is being protected for them unless it somehow breaks their functionality. I
know this example is a rather complex one to implement, but I think it
illustrates the point. In terms of implementation, the JSTL developers might
seek to take advantage of what ESAPI has already done.<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>Ultimately both of these
projects have the same goal &#8211; and I agree with you that they should feed
off of each other whenever possible.<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>Thanks,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div>

<p class=MsoNormal style='text-autospace:none'><b><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif";color:#1F497D'>Rohit Sethi<o:p></o:p></span></b></p>

<p class=MsoNormal style='text-autospace:none'><b><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif";color:#333399'>Director, Professional
Services<o:p></o:p></span></b></p>

<p class=MsoNormal style='text-autospace:none'><b><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif";color:#333399'>Security Compass<o:p></o:p></span></b></p>

<p class=MsoNormal style='text-autospace:none'><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif";color:#1F497D'><a
href="http://www.securitycompass.com/">http://www.securitycompass.com</a><o:p></o:p></span></p>

<p class=MsoNormal style='text-autospace:none'><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif";color:silver'>Direct : 888-777-2211 ext. 102<o:p></o:p></span></p>

<p class=MsoNormal style='text-autospace:none'><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif";color:silver'>Mobile: 732.546.4473<o:p></o:p></span></p>

<p class=MsoNormal style='text-autospace:none'><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif";color:silver'>Twitter: rksethi<o:p></o:p></span></p>

</div>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span
style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Sethi, Rohit <br>
<b>Sent:</b> Monday, October 11, 2010 12:28 PM<br>
<b>To:</b> 'owasp-leaders@lists.owasp.org'; 'Paulo Coimbra'; 'Craig Younkins'<br>
<b>Subject:</b> RE: [Owasp-leaders] I am glad to announce I've just set a new
project up - OWASP Secure Web Application Framework Manifesto, led by Rohit
Sethi.<o:p></o:p></span></p>

</div>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal><span style='color:#1F497D'>I certainly think that we should
leverage as much ESAPI code as possible. &nbsp;There is no sense in rewriting
what the ESAPI developers have already put countless hours building, testing,
and refactoring into. <o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>The main difference here is that
the Secure Web Application Framework Manifesto project seeks to integrate the
security features <i>into</i> the frameworks rather than being a third party
add-on to the frameworks. &nbsp;ESAPI is something that people can use today
&#8211; this project is more about the future and is not as immediately useful
as ESAPI. Eventually, we hope that framework developers will attempt to
differentiate themselves by how much of the manifesto they adhere to. In other
words, we&#8217;re hoping that when framework developers lay out their plans
for the next release they integrate manifesto requirements into them. The simplest
example of this is loo<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>Craig, I would love to discuss
with you directly when you have the time.<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div>

<p class=MsoNormal style='text-autospace:none'><b><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif";color:#1F497D'>Rohit Sethi<o:p></o:p></span></b></p>

<p class=MsoNormal style='text-autospace:none'><b><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif";color:#333399'>Director, Professional
Services<o:p></o:p></span></b></p>

<p class=MsoNormal style='text-autospace:none'><b><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif";color:#333399'>Security Compass<o:p></o:p></span></b></p>

<p class=MsoNormal style='text-autospace:none'><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif";color:#1F497D'><a
href="http://www.securitycompass.com/">http://www.securitycompass.com</a><o:p></o:p></span></p>

<p class=MsoNormal style='text-autospace:none'><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif";color:silver'>Twitter: rksethi<o:p></o:p></span></p>

</div>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span
style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>
owasp-leaders-bounces@lists.owasp.org
[mailto:owasp-leaders-bounces@lists.owasp.org] <b>On Behalf Of </b>Dave Wichers<br>
<b>Sent:</b> Monday, October 11, 2010 12:17 PM<br>
<b>To:</b> owasp-leaders@lists.owasp.org; Paulo Coimbra; Craig Younkins<br>
<b>Subject:</b> Re: [Owasp-leaders] I am glad to announce I've just set a new
project up - OWASP Secure Web Application Framework Manifesto, led by Rohit
Sethi.<o:p></o:p></span></p>

</div>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal><span style='color:#1F497D'>Craig Younkins developed the
ESAPI for Python project so I think you should definitely coordinate with him.<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>I think integrating ESAPI for
Python into or with Django would be a great first example of ESAPI integration
into a framework. ESAPI integration with frameworks (like Spring in the Java
world) is a critical next step for ESAPI.<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>Rohit &#8211; do you think
having this as a separate project for ESAPI makes sense, or should we have this
be an adjunct to ESAPI. I thinking that having them related to would provide
more visibility to both projects. But I&#8217;m interested in your thoughts.<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>-Dave<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p class=MsoNormal><b>From:</b> owasp-leaders-bounces@lists.owasp.org [mailto:owasp-leaders-bounces@lists.owasp.org]
<b>On Behalf Of </b>Sethi, Rohit<br>
<b>Sent:</b> Monday, October 11, 2010 11:54 AM<br>
<b>To:</b> Paulo Coimbra; owasp-leaders@lists.owasp.org<br>
<b>Cc:</b> Tom Aratyn; Patrick Szeto<br>
<b>Subject:</b> Re: [Owasp-leaders] I am glad to announce I've just set a new project
up - OWASP Secure Web Application Framework Manifesto, led by Rohit Sethi.<o:p></o:p></p>

</div>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal><span style='color:#1F497D'>Leaders,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>We believe that building the
right controls into web application frameworks will drive more secure applications.
Our intent is to move this effort beyond documentation and into real code
&#8211; starting with building many of these requirements to the Django
framework or a spin-off. This is a particularly important opportunity for
students and researchers who wish to make a real impact to secure application
development. &nbsp;We are interested in reaching out the Django community to
get their buy-in on this. If you have contacts with their developers please let
us know.<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>We will soon be looking for
people to help review this project and move it into a stable release. Please
also let me know if you are interested in this regard.<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>Thank you,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div>

<p class=MsoNormal style='text-autospace:none'><b>Rohit Sethi<o:p></o:p></b></p>

<p class=MsoNormal style='text-autospace:none'><b>Director, Professional
Services<o:p></o:p></b></p>

<p class=MsoNormal style='text-autospace:none'><b>Security Compass<o:p></o:p></b></p>

<p class=MsoNormal style='text-autospace:none'><a
href="http://www.securitycompass.com/">http://www.securitycompass.com</a><o:p></o:p></p>

<p class=MsoNormal style='text-autospace:none'>Twitter: rksethi<o:p></o:p></p>

</div>

<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p class=MsoNormal><b>From:</b> Paulo Coimbra [mailto:paulo.coimbra@owasp.org] <br>
<b>Sent:</b> Friday, October 08, 2010 6:58 PM<br>
<b>To:</b> owasp-leaders@lists.owasp.org<br>
<b>Cc:</b> Sethi, Rohit; Chan, Yuk Fai; Tom Aratyn; Patrick Szeto<br>
<b>Subject:</b> I am glad to announce I've just set a new project up - OWASP
Secure Web Application Framework Manifesto, led by Rohit Sethi. <o:p></o:p></p>

</div>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal><span lang=EN-GB style='color:#1F497D'>Leaders,<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-GB><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span lang=EN-GB style='color:#1F497D'>I am glad to announce
I&#8217;ve just set a new project up &#8211; the <b><i>OWASP Secure Web
Application Framework Manifesto</i></b>, led by <b><i>Rohit Sethi</i></b>.<b> </b>Please
welcome his new OWASP initiative! <o:p></o:p></span></p>

<p class=MsoNormal><b><span lang=EN-GB style='color:#1F497D'><o:p>&nbsp;</o:p></span></b></p>

<p class=MsoNormal><span lang=EN-GB style='color:#1F497D'><a
href="http://www.owasp.org/index.php/OWASP_Secure_Web_Application_Framework_Manifesto#tab=Project_About">http://www.owasp.org/index.php/OWASP_Secure_Web_Application_Framework_Manifesto#tab=Project_About</a>
<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-GB style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span lang=EN-GB style='color:#1F497D'><a
href="http://www.owasp.org/index.php/User:Rksethi">http://www.owasp.org/index.php/User:Rksethi</a>
<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-GB style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span lang=EN-GB style='color:#1F497D'>As always, your
suggestions and contributions would be greatly appreciated. &nbsp;&nbsp;<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-GB style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span lang=EN-GB style='color:#1F497D'>In addition, this
project already has a very mature release, <b><i>OWASP Secure Web Application
Framework Manifesto</i>/Version v0.08 </b>&#8211; please glance at it.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-GB style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span lang=EN-GB style='color:#1F497D'><a
href="http://www.owasp.org/index.php/Projects/OWASP_Secure_Web_Application_Framework_Manifesto/Releases/Current">http://www.owasp.org/index.php/Projects/OWASP_Secure_Web_Application_Framework_Manifesto/Releases/Current</a>
<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-GB style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span lang=EN-GB style='color:#1F497D'>If the project leader
and his contributors ultimately decide to have this release assessed as I am
counting on, I will update you. &nbsp;<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-GB style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span lang=EN-GB style='color:#1F497D'>Many thanks, regards,<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-GB><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span lang=EN-GB>Paulo Coimbra,<o:p></o:p></span></p>

<p class=MsoNormal><span lang=PT><a
href="https://www.owasp.org/index.php/Main_Page"><span lang=EN-GB>OWASP Project
Manager</span></a></span><span lang=EN-GB><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-GB><o:p>&nbsp;</o:p></span></p>

</div>

</body>

</html>