<div dir="ltr">I'm not sure if I'll make the talk but I'd be interested to hear:<div><br></div><div><span style="font-family:arial,sans-serif;font-size:13px">Authentication Best Practices for Developers</span><br>
</div><div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div style><span style="font-family:arial,sans-serif;font-size:13px">or any of them except:</span></div><div style><span style="font-family:arial,sans-serif;font-size:13px"><br>
</span></div><div style><span style="font-family:arial,sans-serif;font-size:13px">Build Application Security Controls into Legal Contracts</span><br style="font-family:arial,sans-serif;font-size:13px"></div></div><div class="gmail_extra">
<br><br><div class="gmail_quote">On Wed, Mar 20, 2013 at 2:45 PM, Tim <span dir="ltr"><<a href="mailto:tim.morgan@owasp.org" target="_blank">tim.morgan@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I've only received one reply to this request...<br>
<br>
I know how many people are on this mailing list and how many of them<br>
are eager to learn more about security.  So I find a ~1% response<br>
rate to be pretty sad.<br>
<br>
What are you most interested in?   Reply on or off list as you desire.<br>
<span class="HOEnZb"><font color="#888888"><br>
tim<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
<br>
On Sun, Mar 10, 2013 at 11:42:16AM -0700, Tim wrote:<br>
><br>
><br>
> Hi all,<br>
><br>
> Jim Manico has offered to give another talk for us, tentatively<br>
> scheduled for June 5.  Here are some of the topics he offered to<br>
> present. Please let me know which of these interest you the most:<br>
><br>
><br>
> ===<br>
> Title: Top Ten Web Defenses<br>
> We cannot firewall or patch our way to secure websites. In the past,<br>
> security professionals thought firewalls, Secure Sockets Layer (SSL),<br>
> patching, and privacy policies were enough. Today, however, these methods<br>
> are outdated and ineffective, as attacks on prominent, well-protected<br>
> websites are occurring every day. Citigroup, PBS, Sega, Nintendo, Gawker,<br>
> AT&T, the CIA, the US Senate, NASA, Nasdaq, the NYSE, Zynga, and thousands<br>
> of others have something in common  all have had websites compromised in<br>
> the last year. No company or industry is immune. Programmers need to learn<br>
> to build websites differently. This talk will review the top coding<br>
> techniques developers need to master in order to build a low-risk,<br>
> high-security web application.<br>
><br>
> Title: Securing the SDLC<br>
> The earlier you address security in the engineering of software, the less<br>
> expensive it will be for your organization. This talk will not only<br>
> discuss critical security activities necessary to build secure software,<br>
> but it will also address the unique aspects of secure software creation<br>
> specific to various cloud architectures.<br>
><br>
> Title: Authentication Best Practices for Developers<br>
> This module will discuss the security mechanisms found within an<br>
> authentication (AuthN) layer of a web application.  We will review a<br>
> series of historical authentication threats. We will also discuss a<br>
> variety of authentication design patterns necessary to build a low-risk<br>
> high-security web application. Session management threats and best<br>
> practices will also be covered. This module will include several technical<br>
> demonstrations and code review labs.<br>
><br>
> Title: Access Control Design Best Practices<br>
> Access Control is a necessary security control at almost every layer<br>
> within a web application. This talk will discuss several of the key access<br>
> control anti-patterns commonly found during website security audits. These<br>
> access control anti-patterns include hard-coded security policies, lack of<br>
> horizontal access control, and "fail open" access control mechanisms. In<br>
> reviewing these and other access control problems, we will discuss and<br>
> design a positive access control mechanism that is data contextual,<br>
> activity based, configurable, flexible, and deny-by-default - among other<br>
> positive design attributes that make up a robust web-based access-control<br>
> mechanism.<br>
><br>
> Title: Cross Site Site Scripting Advanced Defense<br>
> This talk will discuss the past methods used for cross-site scripting<br>
> (XSS) defense that were only partially effective. Learning from these<br>
> lessons, we will also discuss present day defensive methodologies that are<br>
> effective, but place an undue burden on the developer. We will then finish<br>
> with a discussion of advanced XSS defense methodologies that shift the<br>
> burden of XSS defense from the developer to various frameworks. These<br>
> include auto-escaping template technologies, browser-based defenses such<br>
> as Content Security Policy, and other Javascript sandboxes such as the<br>
> Google CAJA project.<br>
><br>
> Build Application Security Controls into Legal Contracts<br>
> Every large organization is building web application software in some way,<br>
> normally at great expense. It is a significant organizational and<br>
> technical challenge simply to complete complex software projects. It is<br>
> and even greater challenge to do so in a secure fashion.The earlier<br>
> security is addressed in the engineering of software, the less expensive<br>
> it will be for your organization. This talk will discuss several critical<br>
> web application security-centric computer programming techniques necessary<br>
> to build low-risk web-based applications. This talk will also describe<br>
> strategic ways to add prescriptive security control contract language into<br>
> software procurement or outsourcing contract language to encourage even<br>
> third party developers to build secure code.<br>
><br>
><br>
><br>
> BIO: Jim Manico is the VP of Security Architecture for WhiteHat Security,<br>
> a web security firm. He authors and delivers developer security awareness<br>
> training for WhiteHat Security and has a background as a software<br>
> developer and architect. Jim is also a global board member for the<br>
> OWASP foundation. He manages and participates in several OWASP projects,<br>
> including the OWASP cheat sheet series and the OWASP podcast series.<br>
> ===<br>
><br>
> thanks,<br>
> tim<br>
_______________________________________________<br>
Owasp-portland mailing list<br>
<a href="mailto:Owasp-portland@lists.owasp.org">Owasp-portland@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-portland" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-portland</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>GeekyExplorers.com<div><br></div>
</div>