<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Touche' - I concede that fact if the search is phrased correctly. Is
    the developer experience the same? My gut says no, otherwise we
    wouldn't even be having this conversation :)<br>
    <br>
    On 1/26/2012 9:09 AM, Michael Coates wrote:<br>
    <span style="white-space: pre;">> "leveraging stellar search
      ranking provided by a provider that has already put in the miles
      to get their results in the top ten."<br>
      ><br>
      > OWASP.org - already in the top results :) <br>
      ><br>
      ><br>
      > Michael Coates<br>
      > OWASP<br>
      > <a class="moz-txt-link-abbreviated" href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a><br>
      ><br>
      ><br>
      ><br>
      > On Jan 26, 2012, at 7:50 AM, Chris Schmidt wrote:<br>
      ><br>
      >> This is the most awesome post on the list so far this
      year!<br>
      >><br>
      >> I completely agree with Dennis here. Developers are
      looking for<br>
      >> solutions when they google a problem, not a description
      of the problem -<br>
      >> how it works - and what it means. They may bookmark that
      information and<br>
      >> go back to it at a later date, but when they search for
      "How do I fix<br>
      >> CSRF" they are looking for the answer and in my
      experience will grab the<br>
      >> first one they come across. Our goal should be to get the
      *correct*<br>
      >> solutions in front of devs, in order to do that we should
      be leveraging<br>
      >> stellar search ranking provided by a provider that has
      already put in<br>
      >> the miles to get their results in the top ten.<br>
      >><br>
      >> On 1/26/2012 8:37 AM, Dennis Groves wrote:<br>
      >>> Here is the thing, it is better to focus on
      solutions. Vulns are like blacklists, Solutions are like
      whitelists - <br>
      >>><br>
      >>> Enumeration of vulns is a lot like masturbation - it
      feels great but doesn't accomplish much.<br>
      >>><br>
      >>> Solutions on the other hand create great value;
      additionally there is not any debate about discussing them,
      responsible disclosure of solutions nor any other bull-shit. <br>
      >>><br>
      >>> Focus on solutions - change the game, make the world
      a better place. :-)<br>
      >>><br>
      >>><br>
      >>> --<br>
      >>> Dennis Groves (<a class="moz-txt-link-freetext" href="http://about.me/dennis.groves">http://about.me/dennis.groves</a>), MSc<br>
      >>> <a class="moz-txt-link-abbreviated" href="mailto:dennis.groves@gmail.com">dennis.groves@gmail.com</a>
      (<a class="moz-txt-link-freetext" href="mailto:dennis.groves@gmail.com">mailto:dennis.groves@gmail.com</a>)<br>
      >>><br>
      >>><br>
      >>><br>
      >>> On Thursday, 26 January 2012 at 15:08, John Wilander
      wrote:<br>
      >>><br>
      >>>> Do we know if developers etc shy away from asking
      security questions in the open? I've certainly been in situations
      where I'd like to get the community's opinion but I didn't want to
      expose the customer/team/project.<br>
      >>>><br>
      >>>> Stack Exchange is a very exposing place. An OWASP
      forum might be less so.<br>
      >>>><br>
      >>>> It's like demoing vulnerabilities. We do that
      within our community because everybody knows the rules of the game
      (full disclosure, responsible disclosure, what's known and what's
      not). But we probably hesitate demoing the same way to the general
      public. At OWASP AppSec I might demo CSRF against a real site
      whereas I do it against WebGoat in other circumstances.<br>
      >>>><br>
      >>>> What I'm trying to say is an OWASP forum might
      get more honest, detailed questions whereas Stack Exchange
      attracts open security questions replied to with a mandatory
      pissing contest.<br>
      >>>><br>
      >>>> Regards, John<br>
      >>>><br>
      >>>> -- <br>
      >>>> My music <a class="moz-txt-link-freetext" href="http://www.johnwilander.com">http://www.johnwilander.com</a><br>
      >>>> Twitter <a class="moz-txt-link-freetext" href="https://twitter.com/johnwilander">https://twitter.com/johnwilander</a><br>
      >>>> CV or Résumé <a class="moz-txt-link-freetext" href="http://johnwilander.se">http://johnwilander.se</a><br>
      >>>><br>
      >>>> 26 jan 2012 kl. 15:41 skrev dinis cruz
      <a class="moz-txt-link-rfc2396E" href="mailto:dinis.cruz@owasp.org(mailto:dinis.cruz@owasp.org)"><dinis.cruz@owasp.org (mailto:dinis.cruz@owasp.org)></a>:<br>
      >>>><br>
      >>>>> I think we tried that originally and it got
      merged with the general security one<br>
      >>>>><br>
      >>>>> Dinis Cruz<br>
      >>>>><br>
      >>>>> On 26 Jan 2012, at 14:39, Thomas Brennan
      <a class="moz-txt-link-rfc2396E" href="mailto:tomb@owasp.org(mailto:tomb@owasp.org)"><tomb@owasp.org (mailto:tomb@owasp.org)></a> wrote:<br>
      >>>>><br>
      >>>>>> We (OWASP) could ask for
      appsec.stackexchange and volunteer to moderate/sponsor its shared
      goal<br>
      >>>>>><br>
      >>>>>> Semper Fi,<br>
      >>>>>><br>
      >>>>>> Tom Brennan<br>
      >>>>>> <a class="moz-txt-link-freetext" href="http://www.linkedin.com/in/tombrennan">http://www.linkedin.com/in/tombrennan</a><br>
      >>>>>> 9732020122<br>
      >>>>>><br>
      >>>>>> On Jan 26, 2012, at 9:34 AM, Rory Mccune
      <a class="moz-txt-link-rfc2396E" href="mailto:rorym@nmrconsult.net(mailto:rorym@nmrconsult.net)"><rorym@nmrconsult.net (mailto:rorym@nmrconsult.net)></a> wrote:<br>
      >>>>>><br>
      >>>>>>> Hi all,<br>
      >>>>>>><br>
      >>>>>>> I'd say that security stackexchange
      is a good option. Ive been a user of it more or less since launch
      and the community is pretty good, the mods are reasonable and it's
      a free service, so no questions of content being restricted to
      paying members.<br>
      >>>>>>><br>
      >>>>>>> Definitely additional oomph from
      owasp membership would be great.<br>
      >>>>>>><br>
      >>>>>>> The referrals from stackoverflow and
      other stack exchange sites are useful as people who ask security
      related questions can be easily redirected without losing context
      and also if a offtopic question comes up in the forum it can be
      moved without just closing it down.<br>
      >>>>>>><br>
      >>>>>>><br>
      >>>>>>> Cheers<br>
      >>>>>>><br>
      >>>>>>> Rory<br>
      >>>>>>><br>
      >>>>>>> Sent from my iPad<br>
      >>>>>>><br>
      >>>>>>> On 26 Jan 2012, at 13:50, Chris
      Schmidt <a class="moz-txt-link-rfc2396E" href="mailto:chris.schmidt@owasp.org(mailto:chris.schmidt@owasp.org)"><chris.schmidt@owasp.org
      (mailto:chris.schmidt@owasp.org)></a> wrote:<br>
      >>>>>>><br>
      >>>>>>>> experts-exchange is a pay
      service, I would recommend staying away from.<br>
      >>>>>>>><br>
      >>>>>>>> I am curious what is wrong with
      stack-exchange as well. This sounds like<br>
      >>>>>>>> *exactly* what the intent of that
      experiment was. I haven't been there<br>
      >>>>>>>> for a few weeks, but last I
      checked people were still actively using it<br>
      >>>>>>>> as well. With a little additional
      oomph from the OWASP membership I<br>
      >>>>>>>> think that it could become very
      active. Stack exchange already ranks<br>
      >>>>>>>> extremely well in search results
      so for the majority of people who<br>
      >>>>>>>> google their questions, I think
      this is a better solution all the way<br>
      >>>>>>>> around.<br>
      >>>>>>>><br>
      >>>>>>>> Additionally, there is already an
      OWASP irc channel that we could start<br>
      >>>>>>>> promoting as a place to come ask
      questions to, right now it is usually<br>
      >>>>>>>> just a few of us lurkers but we
      do occasionally get people in who have<br>
      >>>>>>>> security questions.<br>
      >>>>>>>><br>
      >>>>>>>> On 1/26/2012 5:33 AM, Achim
      wrote:<br>
      >>>>>>>>> another one is
      experts-exchange.com (<a class="moz-txt-link-freetext" href="http://experts-exchange.com">http://experts-exchange.com</a>) which has an
      established user management, supports<br>
      >>>>>>>>> forum with mail notifications
      (also chat IIRC), has some kind of round table,<br>
      >>>>>>>>> and the questions and answers
      are "moderated".<br>
      >>>>>>>>><br>
      >>>>>>>>> Just my 2 pence,<br>
      >>>>>>>>> Achim<br>
      >>>>>>>>><br>
      >>>>>>>>> Am 26.01.2012 10:47, schrieb
      dinis cruz:<br>
      >>>>>>>>>> And why don't we use it?<br>
      >>>>>>>>>><br>
      >>>>>>>>>> There are clearly a
      couple issues with it, or we would be using it.<br>
      >>>>>>>>>><br>
      >>>>>>>>>> Can we identify them? (so
      that we learn from the past)<br>
      >>>>>>>>>><br>
      >>>>>>>>>> Dinis Cruz<br>
      >>>>>>>>>>
      _______________________________________________<br>
      >>>>>>>>>> OWASP-Leaders mailing
      list<br>
      >>>>>>>>>>
      <a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
      (<a class="moz-txt-link-freetext" href="mailto:OWASP-Leaders@lists.owasp.org">mailto:OWASP-Leaders@lists.owasp.org</a>)<br>
      >>>>>>>>>>
      <a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
      >>>>>>>>><br>
      >>>>>>>>><br>
      >>>>>>>>>
      _______________________________________________<br>
      >>>>>>>>> OWASP-Leaders mailing list<br>
      >>>>>>>>> <a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
      (<a class="moz-txt-link-freetext" href="mailto:OWASP-Leaders@lists.owasp.org">mailto:OWASP-Leaders@lists.owasp.org</a>)<br>
      >>>>>>>>>
      <a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
      >>>>>>>><br>
      >>>>>>>><br>
      >>>>>>>>
      _______________________________________________<br>
      >>>>>>>> OWASP-Leaders mailing list<br>
      >>>>>>>> <a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
      (<a class="moz-txt-link-freetext" href="mailto:OWASP-Leaders@lists.owasp.org">mailto:OWASP-Leaders@lists.owasp.org</a>)<br>
      >>>>>>>>
      <a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
      >>>>>>><br>
      >>>>>>><br>
      >>>>>>>
      _______________________________________________<br>
      >>>>>>> OWASP-Leaders mailing list<br>
      >>>>>>> <a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
      (<a class="moz-txt-link-freetext" href="mailto:OWASP-Leaders@lists.owasp.org">mailto:OWASP-Leaders@lists.owasp.org</a>)<br>
      >>>>>>>
      <a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
      >>>>>><br>
      >>>>>><br>
      >>>>>>
      _______________________________________________<br>
      >>>>>> OWASP-Leaders mailing list<br>
      >>>>>> <a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
      (<a class="moz-txt-link-freetext" href="mailto:OWASP-Leaders@lists.owasp.org">mailto:OWASP-Leaders@lists.owasp.org</a>)<br>
      >>>>>>
      <a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
      >>>>><br>
      >>>>><br>
      >>>>>
      _______________________________________________<br>
      >>>>> OWASP-Leaders mailing list<br>
      >>>>> <a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
      (<a class="moz-txt-link-freetext" href="mailto:OWASP-Leaders@lists.owasp.org">mailto:OWASP-Leaders@lists.owasp.org</a>)<br>
      >>>>>
      <a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
      >>>><br>
      >>>><br>
      >>>> _______________________________________________<br>
      >>>> OWASP-Leaders mailing list<br>
      >>>> <a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
      (<a class="moz-txt-link-freetext" href="mailto:OWASP-Leaders@lists.owasp.org">mailto:OWASP-Leaders@lists.owasp.org</a>)<br>
      >>>>
      <a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
      >>><br>
      >>><br>
      >>> _______________________________________________<br>
      >>> OWASP-Leaders mailing list<br>
      >>> <a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
      >>>
      <a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
      >> _______________________________________________<br>
      >> OWASP-Leaders mailing list<br>
      >> <a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
      >> <a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
      ></span><br>
    <br>
  </body>
</html>