John,<br>Make sure to add your ideas to the Summit working sessions page <a href=""></a> and the schedule <a href=""></a> and that everyone is on the attendee list if they plan to attend <a href=""></a>. Invite documents are located here: <a href=""></a> <br>
<br>We&#39;ve also extended dates for applying for Chapter and Project sponsorship so follow the procedure outlined here:  <a href=""></a><br>
 <br>Let me know if you have questions.<br>Regards,<br>Lorna<br><br><br><div class="gmail_quote">On Thu, Dec 9, 2010 at 2:04 PM, John Steven <span dir="ltr">&lt;<a href=""></a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">All,<br>
I agree with Rex. Chaos remains an important (constructively)<br>
disruptive force. It can not provide coherent direction I hear people<br>
craving ATM. The board seems to want the organization to remain<br>
decentralized and with a bottom-up driven direction through project<br>
leaders. This seems &#39;fine&#39; to me because its fundamental to the OWASP<br>
organization and culture.<br>
Though, outside of the community itself, I perceive this having<br>
resulted in two forces providing OWASP most of its external impact and<br>
momentum beyond general Application Security Awareness recently:<br>
Conferences and ESAPI<br>
I&#39;m concerned that as we look at &#39;11, we don&#39;t see these two forces<br>
providing us the progress we desire alone. The last few conferences I<br>
attended suffered from confusion or division in promotion and the<br>
majority of topic areas have already been presented (often in nearly<br>
or exactly their current form). Momentum on conferences, from my view,<br>
will wane unless something changes. ESAPI, by comparison, has momentum<br>
but is less mature. There isn&#39;t a &quot;The Solution&quot; but I think we can<br>
create some direction and bolster both of these key aspects of the<br>
OWASP organization simultaneously. I&#39;ve talked to almost everyone<br>
explicitly listed as a CC regarding my idea. They seemed at least<br>
superficially interested in participating.<br>
Create a &quot;No Fluff just stuff&quot;-like track for Portugal, pull out our<br>
laptops (not for email/IM), and show people how to develop secure<br>
code. Chris referred to this here:<br>
<a href="" target="_blank"></a><br>
I&#39;d like to prototype this in Portugal and keep it going in Minnesota.<br>
Pravir led something like this with SAMM (but regarding process) in<br>
Portugal the first time around. This was incredibly valuable.<br>
I&#39;d like to propose the following skeleton and get passionate<br>
developers to sign up for it. I&#39;m imagining 1/2 day sessions. (So,<br>
over four days, we could have eight (8) facilitators). I suggest we<br>
pick a single target (Java EE?), a single victim app, and a single<br>
container as a &#39;base of operations&#39; for the first one to keep things<br>
Track Mission: Building Security In: Using OWASP tools/techniques/code<br>
to build secure applications.<br>
(the list is not in any particular order. In fact, that may be<br>
something to talk about. I&#39;ve tried to provide four (4) one-hour seeds<br>
for each session, subject again to discussion)<br>
*     Topic                                             *<br>
Facilitator   *    Proctors   *<br>
1 Applying ESAPI input validation        Mr. Schmidt<br>
    * Serial Decomp: Decode, canonicalize, filter<br>
    * Structured data (SSN, CC, etc.)<br>
    * Unstructured data (comments, blogs,  blah)<br>
    * Other input examples (ws-, Database, etc.)<br>
2  Defining AppSensor sensors for:      Mr. Coates<br>
     * Forced Browsing<br>
     * Request Velocity<br>
     * Unexpected encodings<br>
     * Impersonation (Sudden user switch)<br>
3 Managing sessions                          ????????<br>
   * Across requests<br>
   * Across containers<br>
   * Invaliding sessions (Timeout, attack event, logout)<br>
   * Invalidating sessions (across containers, SSO token invalidation,<br>
user termination)<br>
4 Protecting information stored client-side  Mr. Steven<br>
    * Threat Modeling the problem<br>
    * Protecting theft and re-playability of application-specific<br>
info (on client &amp; in flight)<br>
    * Protecting theft and re-playability of session-specific info (in flight)<br>
    * Protecting session-specific information from attack on the client<br>
5 Protecting against CSRF                 ????????<br>
    * Hygiene<br>
       * Discuss/show Frames-busting, cross-domain policy,<br>
       * Discuss referrer and other red herrings<br>
    * Tokens (crafting, scoping, and checking)<br>
    * Discussions, techniques on scale<br>
    * Discussions, techniques on CAPTCHA, re-auth, etc.<br>
6 Providing access to persisted data   ???????<br>
   * Controlling visibility of tables by role (Spring?)<br>
   * Providing access to safe SQL-like query through DAO layer<br>
   * Discussions, techniques for providing secure &#39;auto-wiring&#39; / marshaling<br>
   * Encoding and canonicalization for storage (or alternatively:<br>
   * Security concerns with hierarchical caching &amp; object pooling)<br>
7 ...I have some other ideas for 7 and 8, but wanted to afford the<br>
skeleton some flexibility.<br>
* Facilitator role replaces &quot;speaker&quot;. They lead the session, but the<br>
session is a working session, laptops open, whiteboards filling. This<br>
is not a lecture.<br>
* Other facilitators adopt the present facilitator&#39;s goal as their own<br>
and we drive the concept/design/code forward Dissenting views are for<br>
drinks later.<br>
* Sessions are open to all participants provided they have at least<br>
the ability to read the chosen language, and have the following things<br>
installed when they arrive:<br>
   * Our victim app<br>
   * All session dependencies<br>
   * Dev tools sufficient to build and run the app and our dependencies<br>
* Facilitators must agree to attend six (6) out of eight (8) sessions.<br>
Failing that, they&#39;re booted from the next venue<br>
* The objective of each session is split between educating<br>
participants and bringing the state of the practice forward.<br>
* Participants may bring whatever code they like, provided they<br>
contribute it to OWASP.<br>
* Facilitators should seek to absorb any new developments into the<br>
next conference session. IE: each session should have some new and<br>
unique content<br>
* Facilitators don&#39;t &#39;own&#39; topics, in fact, I&#39;d like them to rotate<br>
between cons. if possible.<br>
Next Steps:<br>
* Define eight sessions, facilitators. Solicit proctoring help<br>
* Finalize (and verify) dependency list for participants<br>
* Ratchet up specificity in session topics (create, review, and revise<br>
a track outline)<br>
* Establish a twice-monthly call for facilitators to take our skeleton<br>
plan to reality.<br>
I would be happy to help organize this track, direct it, and provide<br>
air-support to the other facilitators in their sessions. Chris, Mike:<br>
want to participate? Mr. Cornell--we discussed this out west. You<br>
game? Others?<br>
This track idea, in no way, replaces the need for continued awareness,<br>
novice training, and other popular OWASP tools/projects (LiveCD,<br>
Top10, ... etc.)  The track is designed to engage passionate and more<br>
advanced participants, as well as entice more developer participation.<br>
Let&#39;s build something interactive, tangible and immediately useful for<br>
our conference participants.<br>
<font color="#888888"><br>
</font><div><div></div><div class="h5"><br>
On Wed, Dec 8, 2010 at 5:36 PM, Rex Booth &lt;<a href=""></a>&gt; wrote:<br>
&gt; I hate to so contrarian with you today James, but chaos doesn&#39;t work on a<br>
&gt; strategic level.  Your positive experience at your chapter doesn&#39;t translate<br>
&gt; to the organization as a whole.<br>
&gt; Whether we are a non-profit or not, we need to recognize that we are in a<br>
&gt; competitive marketplace where we need to struggle for relevancy in order to<br>
&gt; achieve our mission.  We can&#39;t treat this like some sort of free-for-all.<br>
&gt; We have numerous dedicated individuals, but I think as an organization we<br>
&gt; try to be everything to everyone.  In the pursuit of allowing owasp to be<br>
&gt; anything somebody wants it to be (new conference?  Sure!  New project?  Why<br>
&gt; not?) we&#39;ve sacrificed our ability to focus and really make an impact (with<br>
&gt; some notable exceptions).<br>
&gt; I think better coordination of efforts, some culling of the less useful<br>
&gt; projects and undertakings, and more strategic leadership from the board<br>
&gt; level would go a long way.<br>
&gt; Imagine how much we could accomplish if we eliminated the noise and were<br>
&gt; able to double our efforts on the truly impactful and high-profile efforts!<br>
&gt; Rex<br>
&gt; On Dec 8, 2010, at 4:02 PM, &quot;James McGovern&quot; &lt;<a href=""></a>&gt; wrote:<br>
&gt; I too have noticed the chaos and believe it is a good thing! When the<br>
&gt; Hartford chapter did a joint meeting with ISACA, they had a lot more<br>
&gt; formality in organizing things. Generally speaking, when I organize Hartford<br>
&gt; chapter meetings I tend to start with finding two speakers who are of<br>
&gt; interest, figuring out what they are going to talk about, creating an agenda<br>
&gt; and then blasting it to the world. The ISACA model required multiple levels<br>
&gt; of approval and dozens of phone calls.<br>
&gt; We get things done without requiring audits and checklists :-)<br>
&gt; James McGovern<br>
&gt; Insurance SBU<br>
&gt; Virtusa Corporation<br>
&gt; 100 Northfield Drive, Suite 305 | Windsor, CT | 06095<br>
&gt; Phone:  860 688 9900 Ext:  1037 | Facsimile:  860 688 2890<br>
&gt; -----Original Message-----<br>
&gt; From: <a href=""></a><br>
&gt; [mailto:<a href=""></a>] On Behalf Of Yiannis<br>
&gt; Pavlosoglou<br>
&gt; Sent: Wednesday, December 08, 2010 12:47 PM<br>
&gt; To: <a href=""></a><br>
&gt; Subject: Re: [Owasp-leaders] Creating OWASP 4.0!<br>
&gt; Examples:<br>
&gt; 2. We have real issues on establishing individual efforts and commits<br>
&gt; to a particular task. Other organisations are also open and<br>
&gt; transparent, why all the chaos with us?<br>
</div></div><div><div></div><div class="h5">_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href=""></a><br>
<a href="" target="_blank"></a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br><div>Lorna Alamri<br>OWASP MSP: Host to OWASP AppSec USA 2011<br>September 20-23 Training, Talks, CTF, and Vendor Show<br><a href="" target="_blank"></a> (2011 site coming soon)<br>
@appsecusa, @owaspmsp<br></div>
<div>Dir: 651-338-0243<br>skype: lorna.alamri<br><a href="" target="_blank"></a></div><br>