<div dir="ltr"><p dir="ltr">Christian,</p><p dir="ltr">I really like of your propose and care to seek end user contributions to continue <span class="" style>WAFEC</span> v2, an evaluation criteria made mainly by vendors can be too partial and lost the practical focus need by evaluators. </p>

<p dir="ltr">Acting mainly as consultant and end user (using open source and commercial <span class="" style>WAF's</span>), and <span class="" style>waf</span>-<span class="" style>fle</span> developer in spare time, I came in the past to <span class="" style>Ofer</span> <span class="" style>Shezaf</span>, to contribute as a reviewer.</p>

<p dir="ltr">I expect avoid any biased judgement or conflict of interest, as always do. I raised my hand in your call with my end user side in mind, but I am a developer too.</p><p dir="ltr">I agree that checks and balances are needed to avoid biased opinion (when I joined <span class="" style>WAFEC</span> I saw few users, and this is bad), and make end user participate more is a good start point, but is not guarantee, once I (and anyone) as end users can defend some vendor/product point of view (just because he/she see the <span class="" style>WAF</span> through the lens of product A or B), not because is trying to privilege the product. And all member (mainly those do writing and make the revision) of <span class="" style>WAFEC</span> must be committed to avoid this.<br>

</p><p dir="ltr">How to refer to me? "Independent developer", "End user/Independent developer" or any other appropriated description, more clear, better. As I have no affiliation with any vendor or reseller, I speak by myself.<br>

</p><p dir="ltr">I understand your care, and respect this. And I'd like to contribute more to <span class="" style>WAFEC</span>, in my best.<br></p><p dir="ltr">Best regards,<br></p><p dir="ltr"><span class="" style>Klaubert</span> Herr<br>

</p><p dir="ltr"><br></p>
<div class="gmail_quote">Em 19/06/2014 01:29, "Christian Heinrich" <<a href="mailto:christian.heinrich@cmlh.id.au" target="_blank">christian.<span class="" style="background-color:yellow"><span class="" style>heinrich</span></span>@<span class="" style="background-color:yellow"><span class="" style>cmlh</span></span>.id.<span class="" style="background-color:yellow"><span class="" style>au</span></span></a>> <span class="" style="background-color:yellow"><span class="" style>escreveu</span></span>:<br type="attribution">

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
Klaubert,<br>
<br>
I have made the assumption that:<br>
<br>
1. Your an experienced end user of ModSecurity i.e.<br>
<a href="http://br.linkedin.com/pub/klaubert-herr/51/b58/128" target="_blank">http://br.linkedin.com/pub/klaubert-herr/51/b58/128</a><br>
<br>
2. ... and also the developer of <a href="http://waf-fle.org/about/" target="_blank">http://waf-fle.org/about/</a> i.e. a<br>
ModSecurity Console which is GNUv3 licensed i.e.<br>
<a href="https://github.com/klaubert/waf-fle/blob/master/LICENSE" target="_blank">https://github.com/klaubert/waf-fle/blob/master/LICENSE</a><br>
<br>
I am seeking end users i.e. 1. above<br>
<br>
Therefore, the conflict of interest would be 2. which could be<br>
resolved if the other developers of competing ModSecurity Console(s),<br>
such as <a href="http://www.jwall.org/" target="_blank">http://www.jwall.org/</a>, etc.<br>
<br>
If this can't be resolved without dispute then I could credit your<br>
[accepted] contribution as a ModSecurity "Independent Developer" (i.e.<br>
not the vendor Trustwave) since I would like to declare any possible<br>
bias, even unintended, within WAFECv2<br>
<br>
The "Independent Developer" classification is different from the<br>
contributions made by vendors themselves such as Imperva, Trustwave<br>
and possibly <a href="https://www.ironbee.com/" target="_blank">https://www.ironbee.com/</a> i.e. Qualys, etc.<br>
<br>
I have no issue if you would like to highlight that you contributed x,<br>
y and z to WAFECv2 on <a href="http://waf-fle.org/" target="_blank">http://waf-fle.org/</a> of which the reader was able<br>
to click a link which would also provide a list of other possible<br>
solution(s) that adhered to x, y and z of which the other vendors<br>
would have to undertake their own evaluation with an independent<br>
testing authority.<br>
<br>
Does this seem reasonable?<br>
<br>
On Thu, Jun 19, 2014 at 12:06 PM, Klaubert Herr da Silveira<br>
<<a href="mailto:klaubert@gmail.com" target="_blank">klaubert@gmail.com</a>> wrote:<br>
> Christian,<br>
><br>
> If is good to you, I'd like to join you to complete and review the WAFEC (I<br>
> have missed your last mail, sorry to not answer before).<br>
> And I expect to have some time in this months too.<br>
><br>
> Best regards,<br>
><br>
> Klaubert Herr<br>
> <a href="http://waf-fle.org" target="_blank">http://waf-fle.org</a><br>
><br>
><br>
> On Wed, Jun 18, 2014 at 10:51 PM, Christian Heinrich<br>
> <<a href="mailto:christian.heinrich@cmlh.id.au" target="_blank">christian.heinrich@cmlh.id.au</a>> wrote:<br>
>><br>
>> Ofer,<br>
>><br>
>> Achim has also offered to assist.<br>
>><br>
>> It would appear that I have some spare cycles over July and August so<br>
>> I would like to kick off then.<br>
>><br>
>> Is WASC and the community ok with this?<br>
>><br>
>> On Mon, May 5, 2014 at 11:53 AM, Christian Heinrich<br>
>> <<a href="mailto:christian.heinrich@cmlh.id.au" target="_blank">christian.heinrich@cmlh.id.au</a>> wrote:<br>
>> > Ofer,<br>
>> ><br>
>> > I would like to see WAFEC v2 released in 2014 and would like to share<br>
>> > leadership with two (or more) end users for objectivity?<br>
>> ><br>
>> > I would like to see the other people volunteering commit to reviewing<br>
>> > the mail archive from the kick off onwards i.e.<br>
>> ><br>
>> > <a href="http://lists.webappsec.org/pipermail/wasc-wafec_lists.webappsec.org/2011-February/date.html" target="_blank">http://lists.webappsec.org/pipermail/wasc-wafec_lists.webappsec.org/2011-February/date.html</a><br>



>> > onwards as this has captured a lot of knowledge on the content<br>
>> > proposed for v2.<br>
>> ><br>
>> > Is there a formal process defined within<br>
>> > <a href="http://www.webappsec.org/aboutus.shtml" target="_blank">http://www.webappsec.org/aboutus.shtml</a> or elsewhere?<br>
>> ><br>
>> > On Mon, Apr 7, 2014 at 7:53 AM, Ofer Shezaf <<a href="mailto:ofer@shezaf.com" target="_blank">ofer@shezaf.com</a>> wrote:<br>
>> >> I guess that after a year or more of little progress, I need to admit<br>
>> >> that<br>
>> >> we have stalled. The information as it appears on the OWASP project<br>
>> >> page<br>
>> >> ([1]) and the WASC wiki page ([2]) is mostly the latest available. I<br>
>> >> have a<br>
>> >> bit more which was submitted and is waiting for publication for review,<br>
>> >> but<br>
>> >> nothing significant. While it is always high on my to do list, it is<br>
>> >> never<br>
>> >> high enough. WAFs and application security in general are not my day<br>
>> >> work<br>
>> >> but just a hobby and this has its toll. I think that project certainly<br>
>> >> need<br>
>> >> someone fresh to take over. Any volunteer?<br>
>><br>
>><br>
>><br>
>><br>
>> --<br>
>> Regards,<br>
>> Christian Heinrich<br>
>><br>
>> <a href="http://cmlh.id.au/contact" target="_blank">http://cmlh.id.au/contact</a><br>
>><br>
>> _______________________________________________<br>
>> wasc-wafec mailing list<br>
>> <a href="mailto:wasc-wafec@lists.webappsec.org" target="_blank">wasc-wafec@lists.webappsec.org</a><br>
>> <a href="http://lists.webappsec.org/mailman/listinfo/wasc-wafec_lists.webappsec.org" target="_blank">http://lists.webappsec.org/mailman/listinfo/wasc-wafec_lists.webappsec.org</a><br>
><br>
><br>
<br>
<br>
<br>
--<br>
Regards,<br>
Christian Heinrich<br>
<br>
<a href="http://cmlh.id.au/contact" target="_blank">http://cmlh.id.au/contact</a><br>
</blockquote></div>
</div>