<div dir="ltr"><div><div>My apologies Matt.  I was participating remotely and definitely was having a difficult time hearing at times.  It is entirely possible that I misheard you.  It's ironically a bit like the code obfuscation topic that started all of this.  While I agree that banning an e-mail address is probably not a foolproof solution to the problem at hand (just like code obfuscation), it is at least some part of a defense-in-depth solution to raise the LOE involved to exploit.  I am unable to find the notes or recording from that meeting where we discussed it and Michael (who I think may have it) is out on honeymoon, but once we have it, I think we need to re-review the resulting decision and the controls that we will put in place to enforce the decision.<br><br></div>Regarding Yvan's proposed policy of notification of the complainant, I'm honestly not sure and would need to take this up to the rest of the Board.  I certainly see why you would want this, and could mostly get behind notifying the complainant, but the community notification part we need to tread lightly.  Specifically because our ethics policy states that we shouldn't injure or impugn the reputation of others and this type of action has been construed as such in the past.  Not saying that we shouldn't do it, just that we should be very careful if we do.<br><br></div>~josh<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 6, 2014 at 10:04 PM, Matt Tesauro <span dir="ltr"><<a href="mailto:matt.tesauro@owasp.org" target="_blank">matt.tesauro@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Yvan is 100% correct with:<div>[snip]</div><span class=""><div><span style="font-family:arial,sans-serif;font-size:12.7272720336914px">The technical enforcement aspect is only one part of it.  Technical measures to curtail participation are a rathole, especially for security folks since many of us have "figure out how to bypass controls" as part of our of our professional repertoire.</span><br></div></span><div><span style="font-family:arial,sans-serif;font-size:12.7272720336914px">[snip]</span></div><div><span style="font-family:arial,sans-serif;font-size:12.7272720336914px"><br></span></div><div><font face="arial, sans-serif"><span style="font-size:12.7272720336914px">Any attempt to ban someone from the OWASP lists with a </span>technical<span style="font-size:12.7272720336914px"> measure such as rejecting an address at the email gateway or banning an address from posting to Mailman would be trivial to bypass. </span></font></div><div><font face="arial, sans-serif"><span style="font-size:12.7272720336914px"><br></span></font></div><div><font face="arial, sans-serif"><span style="font-size:12.7272720336914px">It would be like bringing a dull knife to a gun fight.</span></font></div><div class="gmail_extra"><br></div><div class="gmail_extra">Josh:  Perhaps you misheard me since you were remote for the board meeting in Denver/September - that's the only board meeting I've attended in quite some time.  If I said anything like that - or was asked, it would be to say its technically possible to implement but absolutely useless as an effective measure to stop someone determined to post to a one of our public lists.  </div><div class="gmail_extra"><br></div><div class="gmail_extra">[snip] <span style="color:rgb(80,0,80);font-family:arial,sans-serif;font-size:12.7272720336914px">Not sure where the ball was dropped there </span>[snip]</div><div class="gmail_extra"><br></div><div class="gmail_extra">Honestly, I don't think the ball was ever in the air to begin with. </div><div class="gmail_extra"><br clear="all"><div>--<br>-- Matt Tesauro<br>OWASP WTE Project Lead<br><a href="http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project</a><br><a href="http://AppSecLive.org" target="_blank">http://AppSecLive.org</a> - Community and Download site<div>OWASP OpenStack Security Project Lead<div><a href="https://www.owasp.org/index.php/OWASP_OpenStack_Security_Project" target="_blank">https://www.owasp.org/index.php/OWASP_OpenStack_Security_Project</a></div></div></div>
<div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><br></blockquote></div><br></div></div>
</blockquote></div><br></div>