<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML xmlns="http://www.w3.org/TR/REC-html40" xmlns:v = 
"urn:schemas-microsoft-com:vml" xmlns:o = 
"urn:schemas-microsoft-com:office:office" xmlns:w = 
"urn:schemas-microsoft-com:office:word"><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.2900.2802" name=GENERATOR><!--[if !mso]>
<STYLE>v\:* {
        BEHAVIOR: url(#default#VML)
}
o\:* {
        BEHAVIOR: url(#default#VML)
}
w\:* {
        BEHAVIOR: url(#default#VML)
}
.shape {
        BEHAVIOR: url(#default#VML)
}
</STYLE>
<![endif]-->
<STYLE>@font-face {
        font-family: Tahoma;
}
@page Section1 {size: 595.3pt 841.9pt; margin: 72.0pt 90.0pt 72.0pt 90.0pt; }
P.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0cm 0cm 0pt; FONT-FAMILY: "Times New Roman"
}
LI.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0cm 0cm 0pt; FONT-FAMILY: "Times New Roman"
}
DIV.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0cm 0cm 0pt; FONT-FAMILY: "Times New Roman"
}
A:link {
        COLOR: blue; TEXT-DECORATION: underline
}
SPAN.MsoHyperlink {
        COLOR: blue; TEXT-DECORATION: underline
}
A:visited {
        COLOR: purple; TEXT-DECORATION: underline
}
SPAN.MsoHyperlinkFollowed {
        COLOR: purple; TEXT-DECORATION: underline
}
SPAN.EmailStyle17 {
        COLOR: navy; FONT-FAMILY: Arial; mso-style-type: personal-reply
}
DIV.Section1 {
        page: Section1
}
</STYLE>
</HEAD>
<BODY lang=EN-AU vLink=purple link=blue>
<DIV dir=ltr align=left><SPAN class=906165306-22122005><FONT face=Arial 
color=#0000ff size=2>Hi</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=906165306-22122005><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=906165306-22122005><FONT face=Arial 
color=#0000ff size=2>I see 2 threads here:</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=906165306-22122005><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=906165306-22122005><FONT face=Arial 
color=#0000ff size=2>1) content driven</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=906165306-22122005><FONT face=Arial 
color=#0000ff size=2>I see an interesting link with the "Testing" 
Project.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=906165306-22122005><FONT face=Arial 
color=#0000ff size=2>If the requirements (=standard) are clearly defined and 
should be "testable", the testing project should come up with the testing 
approach?</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=906165306-22122005><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=906165306-22122005><FONT face=Arial 
color=#0000ff size=2>2) project management driven</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=906165306-22122005><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=906165306-22122005><FONT face=Arial 
color=#0000ff size=2>What I propose is to put together a first draft of a 
project charter (I already posted a similar suggestion to the T10 
list):</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=906165306-22122005><SPAN 
class=618534418-27102005><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=906165306-22122005><SPAN 
class=618534418-27102005><SPAN class=618534418-27102005><FONT face=Arial 
color=#0000ff size=2>In the project charter we&nbsp;define the goals of what we 
want to do:</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=618534418-27102005><FONT face=Arial><FONT 
color=#0000ff><FONT size=2>clear deliverables<SPAN class=906165306-22122005> 
(=WHAT)</SPAN></FONT></FONT></FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=618534418-27102005><FONT face=Arial><FONT 
color=#0000ff><FONT size=2>clear approach<SPAN class=906165306-22122005> 
(=HOW)</SPAN></FONT></FONT></FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=618534418-27102005><FONT face=Arial 
color=#0000ff size=2>clear workpackages (including timing=milestones and 
involved people<SPAN class=906165306-22122005>, the WHO and 
WHEN</SPAN>)</FONT></SPAN></DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff 
size=2></FONT>&nbsp;</DIV></SPAN>
<DIV dir=ltr align=left><SPAN class=618534418-27102005><FONT face=Arial 
color=#0000ff size=2>The project charter TOC would go like:<BR>1. Management 
summary<BR>2. Introduction (with business case, including reasons, costs and 
benefits)<BR>3. Purpose<BR>4. Background<BR>5. Project Definition (including 
Objectives, Approach&nbsp;and Scope)<BR>6. Deliverables<BR>7. Constraints, 
Assumptions and Prerequisites<BR>8. Interfaces (very important: should we 
include VISA/MC in project?)<BR>9. Quality<BR>10. Project Controls and 
Risks<BR>11. Reporting<BR>12. Project Planning</FONT></SPAN></DIV></SPAN>
<DIV><FONT face=Arial><FONT color=#0000ff><FONT size=2><SPAN 
class=906165306-22122005></SPAN></FONT></FONT></FONT>&nbsp;</DIV>
<DIV>
<DIV><FONT face=Arial><FONT color=#0000ff><FONT size=2><SPAN 
class=906165306-22122005>I am willing to put together a first Word draft v0_1, 
but I will need input on the above TOC.</SPAN></FONT></FONT></FONT></DIV>
<DIV><FONT face=Arial><FONT color=#0000ff><FONT size=2><SPAN 
class=906165306-22122005></SPAN></FONT></FONT></FONT><FONT face=Arial><FONT 
color=#0000ff><FONT size=2><SPAN 
class=906165306-22122005></SPAN></FONT></FONT></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial><FONT color=#0000ff><FONT size=2><SPAN 
class=906165306-22122005>We can then later on measure the success of the 
standards project against the charter.</SPAN></FONT></FONT></FONT></DIV>
<DIV><FONT face=Arial><FONT color=#0000ff><FONT size=2><SPAN 
class=906165306-22122005></SPAN></FONT></FONT></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial><FONT color=#0000ff><FONT size=2><SPAN 
class=906165306-22122005>
<DIV dir=ltr align=left><SPAN class=618534418-27102005><FONT face=Arial 
color=#0000ff size=2>Full disclosure: Since achieving Prince2 Practitioner 
certification (you can compare it with PMI project mgr) I drive my colleagues 
nuts with this project mgmt stuff.</FONT></SPAN></DIV>
<DIV dir=ltr align=left>&nbsp;</DIV>
<DIV dir=ltr align=left>regards,</DIV>
<DIV dir=ltr align=left><SPAN class=618534418-27102005><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=618534418-27102005><FONT face=Arial 
color=#0000ff size=2>Seba</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=618534418-27102005><FONT face=Arial 
color=#0000ff size=2>Belgian OWASP Chapter 
Leader</FONT></SPAN></SPAN></FONT></FONT></FONT></DIV></DIV></DIV>
<BLOCKQUOTE dir=ltr 
style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #0000ff 2px solid; MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
  <HR tabIndex=-1>
  <FONT face=Tahoma size=2><B>From:</B> 
  owasp-standards-admin@lists.sourceforge.net 
  [mailto:owasp-standards-admin@lists.sourceforge.net] <BR><B>Sent:</B> woensdag 
  21 december 2005 23:44<BR><B>To:</B> 
  owasp-standards@lists.sourceforge.net<BR><B>Subject:</B> RE: [Owasp-standards] 
  PCI-WASS constraints and goals<BR></FONT><BR></DIV>
  <DIV></DIV>
  <DIV class=Section1>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Mike,<o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Sounds great I agree 
  about keeping this project high-level and having a testable list of 
  requirements would be helpful I think to anyone building applications around 
  credit card processing etc.<o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">So where is the 
  project up to?, Do you need people to get involved and 
  how?<o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Is someone starting 
  to enhance the strawman document and assigning different 
  taks?<o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p>&nbsp;</o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">I suppose what I 
  would like to see is timeframes and goals/responsibilities for the project. EG 
  lets get the project rolling. <o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">I think talking about 
  the issues definitely needs to happen though I would like to see something 
  starting to happen from enhancing and drafting a 
  format.<o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p>&nbsp;</o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">I am more then keen 
  to get involved in the project if the project team 
  wishes..<o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">(Btw who is the 
  project team?)<o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p>&nbsp;</o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Regards<o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Justin<o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p>&nbsp;</o:p></SPAN></FONT></P>
  <DIV>
  <DIV class=MsoNormal style="TEXT-ALIGN: center" align=center><FONT 
  face="Times New Roman" size=3><SPAN lang=EN-US style="FONT-SIZE: 12pt">
  <HR tabIndex=-1 align=center width="100%" SIZE=2>
  </SPAN></FONT></DIV>
  <P class=MsoNormal><B><FONT face=Tahoma size=2><SPAN lang=EN-US 
  style="FONT-WEIGHT: bold; FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">From:</SPAN></FONT></B><FONT 
  face=Tahoma size=2><SPAN lang=EN-US 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma"> 
  owasp-standards-admin@lists.sourceforge.net 
  [mailto:owasp-standards-admin@lists.sourceforge.net] <BR><B><SPAN 
  style="FONT-WEIGHT: bold">Sent:</SPAN></B> Wednesday, 21 December 2005 10:25 
  PM<BR><B><SPAN style="FONT-WEIGHT: bold">To:</SPAN></B> 
  owasp-standards@lists.sourceforge.net<BR><B><SPAN 
  style="FONT-WEIGHT: bold">Subject:</SPAN></B> [Owasp-standards] PCI-WASS 
  constraints and goals</SPAN></FONT><SPAN 
  lang=EN-US><o:p></o:p></SPAN></P></DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt"><o:p>&nbsp;</o:p></SPAN></FONT></P>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt">It looks like we are getting a good number of 
  subscribers to this list, and more importantly some great comments and 
  feedback.&nbsp; I'd like to thank everyone for their contributions and 
  involvement, and hope that this project continues in this way. 
  <o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt">&nbsp;<o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt">Looking at some of the posting thus far, I think I'd 
  like to step in with a new post and clarify some of the constraints and goals 
  of this project.&nbsp; I've mentioned them a bit in some replies to other 
  posts, but having a fresh post for new subscribers to see, and to give a place 
  for existing subscribers to comment on the entire project as a whole. 
  <o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt">&nbsp;<o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt">First off, although I've mentioned PCI in the project 
  title and description, the goal is for OWASP to recommend what we arrive at at 
  the end of this project to PCI as a replacement for the "OWASP Top Ten" 
  currently in place in the existing requirements.&nbsp; However, my intention 
  is to try and develop this standard to be as stand-alone as possible so many 
  other people can benefit from it, not just those that transmit credit card 
  data (many many other web apps transmit "sensitive" data, and these should be 
  able to benefit from it as well).&nbsp; The only reason that I've mentioned 
  PCI to start with is that they already have a very good set&nbsp;of 
  requirements (but network, not web-app focused), in a nice structured format, 
  and are closely matched with the other goal of this project - why go 
  re-inventing the wheel if there already is a public document that fits may of 
  the intentions of the project :) <o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt">&nbsp;<o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt">Which brings us on to the other goal.&nbsp; The aim of 
  this project is to generate a list of *testable* requirements that a 
  *minimally* secure web application should pass.&nbsp; I'm explicitly calling 
  out "minimal" as there's certainly some best-practices and technologies that 
  go to improve the security of an application, but we shouldn't try to 
  prescribe any of them.&nbsp; We are aiming at a baseline that hopefully will 
  change over the years.&nbsp;&nbsp; Also, this project is focused at the 
  *testing* side of SDLC - although there's been some great comments about 
  architecture and defence-in-depth, these things are very difficult to test 
  for, especially in a black-box methodology (which most testing/audits are 
  carried in).&nbsp; So I'd like to try and stay focused on that. 
  <o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt">&nbsp;<o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt">Finally, bear in mind that if we are successful here, 
  a lot of interested parties may want to utilize such a requirements 
  checklist.&nbsp; This is a double-edged sword.&nbsp; On the one hand we have 
  the goal of security - ensuring that the standard is meaningful and does 
  actually protect web applications.&nbsp; In contrast, if the requirements are 
  wholesale adopted, they have to be appropriate for *existing* applications - 
  we should call-out the impact companies and vendors may have in complying, 
  especially with legacy applications.&nbsp; So, this isn't a blue-sky project, 
  and any potential problems should be discussed here as well (for example, one 
  of my colleagues pointed out the number of banks that still use 4-digit PIN's 
  for passwords - this could be a major hurdle and we should at least talk about 
  other such issues). <o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt">&nbsp;<o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt">Although we are initially discussing the requirements, 
  and what they consist of, any post on how we should test for them or any other 
  off-topic (but related) posts are very 
  welcome.<o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt">&nbsp;<o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt">Well, once again, thanks for all that have taken a 
  look, or contributed in some way.&nbsp; I look forward to seeing more 
  subscribers, and lively discussion :)<o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt">&nbsp;<o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt">Cheers,<o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt">Mike<o:p></o:p></SPAN></FONT></P></DIV></DIV></BLOCKQUOTE></BODY></HTML>