<div dir="ltr">Hi Ofer,<div>My thoughts:</div><div>1. I agree, WAF is a web application security filter and as such the focus should be on its functionality.</div><div>3. I'm not sure this is what you meant in this section but my concern is that security requirements (that are related to "how waf operates") will have proper description.</div>
<div>e.g. - if WAF should protect from CSRF attack we need to have good description that will <span style="font-family:Arial,sans-serif">differentiate between those that protect by inspect referer header and those how rewrite data and add tokens.</span></div>
<div><span style="font-family:Arial,sans-serif"><br></span></div><div><span style="font-family:Arial,sans-serif">Thanks.</span></div><div><span style="font-family:Arial,sans-serif"><br></span></div><div><span style="font-family:Arial,sans-serif">Or Katz</span></div>
<p class="MsoNormal">
</p><div><br><div class="gmail_quote">On Wed, Jun 6, 2012 at 2:39 PM, Ofer Shezaf <span dir="ltr"><<a href="mailto:ofer@shezaf.com" target="_blank">ofer@shezaf.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">Since you are all very quiet, I understand that WAFEC 2 will solve my pain and needs only </span><span style="font-family:Wingdings;color:#1f497d">J</span><span style="color:#1f497d"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">To that end, let me start with summarizing issues raised in the previous discussions on the mailing list (which I actually went and read…).<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">No specific order intended. This is what you wrote, though I must say I think it captures well the issues I am aware of and that generally speaking I agree with most.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p><u></u><span style="color:#1f497d"><span>1.<span style="font:7.0pt "Times New Roman"">       </span></span></span><u></u><span dir="LTR"></span><b><u><span style="color:#1f497d">Remove non WAF related criteria</span></u></b><span style="color:#1f497d"> for example around application delivery. <u></u><u></u></span></p>
<p style="margin-left:72.0pt"><u></u><span style="font-family:Symbol;color:#1f497d"><span>·<span style="font:7.0pt "Times New Roman"">         </span></span></span><u></u><span dir="LTR"></span><span style="color:#1f497d">While integrating a WAF with other solutions is compelling to the client, it is not directly about WAFs and is also unbounded. This does present the challenge deciding what is relevant to a WAF in border cases such as an SSO functionality <u></u><u></u></span></p>
<p><u></u><span style="color:#1f497d"><span>2.<span style="font:7.0pt "Times New Roman"">       </span></span></span><u></u><span dir="LTR"></span><b><u><span style="color:#1f497d">Update the list of threats covered</span></u></b><span style="color:#1f497d"><u></u><u></u></span></p>
<p><u></u><span style="color:#1f497d"><span>3.<span style="font:7.0pt "Times New Roman"">       </span></span></span><u></u><span dir="LTR"></span><b><u><span style="color:#1f497d">Focus on customer use cases rather than how a WAF operates</span></u></b><span style="color:#1f497d"><u></u><u></u></span></p>
<p style="margin-left:72.0pt"><u></u><span style="font-family:Symbol;color:#1f497d"><span>·<span style="font:7.0pt "Times New Roman"">         </span></span></span><u></u><span dir="LTR"></span><span style="color:#1f497d">I think there was some hidden controversy here as I read opinions to focus on “technical” which I take to be opposite. I personally very much agree with this comment. <u></u><u></u></span></p>
<p><u></u><span style="color:#1f497d"><span>4.<span style="font:7.0pt "Times New Roman"">       </span></span></span><u></u><span dir="LTR"></span><b><u><span style="color:#1f497d">Not just a laundry list</span></u></b><span style="color:#1f497d"> – <u></u><u></u></span></p>
<p style="margin-left:72.0pt"><u></u><span style="font-family:Symbol;color:#1f497d"><span>·<span style="font:7.0pt "Times New Roman"">         </span></span></span><u></u><span dir="LTR"></span><span style="color:#1f497d">Classify the importance of requirements. I believe that a minimal approach specifying several levels, for example: “mandatory”, “important”, “nice to have” and “site specific”.<u></u><u></u></span></p>
<p style="margin-left:72.0pt"><u></u><span style="font-family:Symbol;color:#1f497d"><span>·<span style="font:7.0pt "Times New Roman"">         </span></span></span><u></u><span dir="LTR"></span><span style="color:#1f497d">Another complementing idea is to classify requirements as “security”/”functionality”/”performance” etc. letting the user determine if he prefers security over functionality etc.<u></u><u></u></span></p>
<p style="margin-left:72.0pt"><u></u><span style="font-family:Symbol;color:#1f497d"><span>·<span style="font:7.0pt "Times New Roman"">         </span></span></span><u></u><span dir="LTR"></span><span style="color:#1f497d">This would also provide the minimum requirements for a solution to be a WAF – the “mandatory” requirements.<u></u><u></u></span></p>
<p style="margin-left:72.0pt"><u></u><span style="font-family:Symbol;color:#1f497d"><span>·<span style="font:7.0pt "Times New Roman"">         </span></span></span><u></u><span dir="LTR"></span><span style="color:#1f497d">Regarding site specific requirements, it should be easy to the user to determine his own requirements, for example using a decision tree.<u></u><u></u></span></p>
<p><u></u><b><span style="color:#1f497d"><span>5.<span style="font:7.0pt "Times New Roman"">       </span></span></span></b><u></u><span dir="LTR"></span><b><u><span style="color:#1f497d">The “ethical” questions:<u></u><u></u></span></u></b></p>
<p style="margin-left:72.0pt"><u></u><span style="font-family:Symbol;color:#1f497d"><span>·<span style="font:7.0pt "Times New Roman"">         </span></span></span><u></u><span dir="LTR"></span><span style="color:#1f497d">How to address alternative solutions such as fixing the code?<u></u><u></u></span></p>
<p><u></u><span style="color:#1f497d"><span>6.<span style="font:7.0pt "Times New Roman"">       </span></span></span><u></u><span dir="LTR"></span><b><u><span style="color:#1f497d">Outreach</span></u></b><span style="color:#1f497d"> – beyond the document<u></u><u></u></span></p>
<p style="margin-left:72.0pt"><u></u><span style="font-family:Symbol;color:#1f497d"><span>·<span style="font:7.0pt "Times New Roman"">         </span></span></span><u></u><span dir="LTR"></span><span style="color:#1f497d">Approaching NSS, ICSA and the likes to use WAFEC<u></u><u></u></span></p>
<p style="margin-left:72.0pt"><u></u><span style="font-family:Symbol;color:#1f497d"><span>·<span style="font:7.0pt "Times New Roman"">         </span></span></span><u></u><span dir="LTR"></span><span style="color:#1f497d">Release process, PR etc.<u></u><u></u></span></p>
<p style="margin-left:72.0pt"><u></u><span style="font-family:Symbol;color:#1f497d"><span>·<span style="font:7.0pt "Times New Roman"">         </span></span></span><u></u><span dir="LTR"></span><span style="color:#1f497d">Managing a list of public references to WAFEC<u></u><u></u></span></p>
<p style="margin-left:72.0pt"><u></u><span style="font-family:Symbol;color:#1f497d"><span>·<span style="font:7.0pt "Times New Roman"">         </span></span></span><u></u><span dir="LTR"></span><span style="color:#1f497d">Promote actual evaluations data sharing - No more spreadsheets.<u></u><u></u></span></p>
<p><u></u><span style="color:#1f497d"><span>7.<span style="font:7.0pt "Times New Roman"">       </span></span></span><u></u><span dir="LTR"></span><span style="color:#1f497d">Specific notes on V1, I have collected for further work.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">A major question raised with opinions on both sides was a re-write vs. an update. I do think that understanding the requirements should direct that. Some issues raised which directly relate to that are:<u></u><u></u></span></p>
<p><u></u><span style="color:#1f497d"><span>1.<span style="font:7.0pt "Times New Roman"">       </span></span></span><u></u><span dir="LTR"></span><span style="color:#1f497d">Is the order of sections correct?<u></u><u></u></span></p>
<p><u></u><span style="color:#1f497d"><span>2.<span style="font:7.0pt "Times New Roman"">       </span></span></span><u></u><span dir="LTR"></span><span style="color:#1f497d">Incorporating the German OWASP chapter work on the same subject: </span><span style><a href="http://www.owasp.org/index.php/Best_Practices:_Web_Application_Firewalls" target="_blank">http://www.owasp.org/index.php/Best_Practices:_Web_Application_Firewalls</a></span><span style="color:#1f497d"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><div><p class="MsoNormal"><span style="color:#1f497d">~ Ofer<u></u><u></u></span></p></div><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p>
<div><div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0cm 0cm 0cm"><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Ofer Shezaf [mailto:<a href="mailto:ofer@shezaf.com" target="_blank">ofer@shezaf.com</a>] <br>
<b>Sent:</b> Thursday, May 31, 2012 1:45 PM<br><b>To:</b> <a href="mailto:wasc-wafec@lists.webappsec.org" target="_blank">wasc-wafec@lists.webappsec.org</a><br><b>Subject:</b> WAFEC 2.0 phase 1: exploratory discussion (deadline: June 14th)<u></u><u></u></span></p>
</div></div><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Thanks to all who volunteered to contribute to this project going forward (and those who didn’t – you still can!)<u></u><u></u></p><p class="MsoNormal">
<u></u> <u></u></p><p class="MsoNormal">I would like to boot up the project with a short exploratory phase identifying why we need a new release and therefore what we need in it.<u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">To guide the discussion, I think that the reasons we need v2 fall into two categories:<u></u><u></u></p><p class="MsoNormal" style="margin-left:45.0pt;vertical-align:middle"><u></u><span style="font-size:12.0pt;font-family:"Times New Roman","serif""><span>1.<span style="font:7.0pt "Times New Roman"">      </span></span></span><u></u><span dir="LTR"></span>Things that have changed - new (or obsolete) deployment modes, techniques, attacks, or even something new altogether.<span style="font-size:12.0pt;font-family:"Times New Roman","serif""><u></u><u></u></span></p>
<p class="MsoNormal" style="margin-left:45.0pt;vertical-align:middle"><u></u><span style="font-size:12.0pt;font-family:"Times New Roman","serif""><span>2.<span style="font:7.0pt "Times New Roman"">      </span></span></span><u></u><span dir="LTR"></span>Issues we discovered in WAFEC over the years. Some issues I encountered are identifying specific requirements and sorting out what’s important and what’s not.<span style="font-size:12.0pt;font-family:"Times New Roman","serif""><u></u><u></u></span></p>
<p class="MsoNormal" style="vertical-align:middle"><u></u> <u></u></p><p class="MsoNormal" style="vertical-align:middle">From this discussion I hope to derive a mission statement, a tasks list and therefore a schedule for the V2 project. All those will be the next phase. <u></u><u></u></p>
<p class="MsoNormal" style="vertical-align:middle"><u></u> <u></u></p><p class="MsoNormal" style="vertical-align:middle"><b>I would give this phase two weeks (until June 14<sup>th</sup>), however I am on vacation from the 9<sup>th</sup>, so would accept input but not join the discussion on the last few days.<u></u><u></u></b></p>
<p class="MsoNormal" style="vertical-align:middle"><b><u></u> <u></u></b></p><p class="MsoNormal" style="vertical-align:middle">I would also want to thank Thorsten and Mirko for leading the project until now. I do hope that I will get from you all more cooperation than they did! I would also want to extend a personal apology to Thorsten and Mirko as the leader switch was not well coordinated. Thorsten and I discussed this over the last week and he gracefully agreed to let me give a try to leading this project forward.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Thank you all!<u></u><u></u></p><p class="MsoNormal">~ Ofer<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Ofer Shezaf<u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:10.0pt"><a href="tel:%5B%2B972-54-4431119" value="+972544431119" target="_blank">[+972-54-4431119</a>; <a href="mailto:ofer@shezaf.com" target="_blank">ofer@shezaf.com</a>, <a href="http://www.shezaf.com" target="_blank">www.shezaf.com</a>]<u></u><u></u></span></p>
<p class="MsoNormal"><u></u> <u></u></p></div></div><br>_______________________________________________<br>
wasc-wafec mailing list<br>
<a href="mailto:wasc-wafec@lists.webappsec.org">wasc-wafec@lists.webappsec.org</a><br>
<a href="http://lists.webappsec.org/mailman/listinfo/wasc-wafec_lists.webappsec.org" target="_blank">http://lists.webappsec.org/mailman/listinfo/wasc-wafec_lists.webappsec.org</a><br>
<br></blockquote></div><br></div></div>