<HTML dir=ltr><HEAD><TITLE>Re: [WEB SECURITY] Great article outlining a core issue with many in the security community</TITLE>
<META http-equiv=Content-Type content="text/html; charset=unicode">
<META content="MSHTML 6.00.6000.17063" name=GENERATOR></HEAD>
<BODY>
<DIV id=idOWAReplyText41936 dir=ltr>
<DIV dir=ltr><FONT face=宋体,Simsun color=#000000 size=2>I second MZ.</FONT></DIV>
<DIV dir=ltr><FONT face=宋体 size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=宋体 size=2>In most situations, the question is like: </FONT><FONT face=宋体 size=2>How secure I can make my application be, with given resource, schedule and feature requirements?</FONT></DIV>
<DIV dir=ltr><FONT face=宋体 size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=宋体 size=2>/Fonix</FONT><BR>
<HR tabIndex=-1>
<FONT face=宋体-18030,宋体,SimSun-18030,Simsun size=2><B>From:</B> websecurity-bounces@lists.webappsec.org 代表 Michal Zalewski<BR><B>Sent:</B> 2011-2-13 (星期日) 18:17<BR><B>To:</B> robert@webappsec.org<BR><B>Cc:</B> websecurity@lists.webappsec.org<BR><B>Subject:</B> Re: [WEB SECURITY] Great article outlining a core issue with many in the security community<BR></FONT><BR></DIV></DIV>
<DIV>
<P><FONT size=2>> I saw this posted via twitter and thought it was worth mentioning here. While the example specifies owasp<BR><BR>Oh, that OWASP thing still around?;-)<BR><BR>I don't quite understand the point of trying to pin the blame. Yes,<BR>developers make mistakes. So do organizations that employ them. And<BR>too often, so do armchair experts who criticize them without offering<BR>any real solutions.<BR><BR>I mean, no matter how good your security skills are, if you think you<BR>can write your own GMail or Facebook on a reasonable schedule, and not<BR>introduce a healthy amount of XSS flaws, you're probably wrong.<BR>Publishing a brand new XSS cheatsheet, a super-awesome security<BR>testing tool, or a flaming hot secure development methodology is not<BR>changing this appreciably.<BR><BR>But then, we wouldn't be here weren't it for the "silly" mistakes of<BR>the developers who built the foundations of the modern, horribly<BR>error-prone web. To which, they can respond that the security<BR>community wasn't exactly there to offer useful insight. And perhaps<BR>for the better, given that many of the "brilliant" ideas how to fix<BR>XSS once and for all are hopelessly out of touch.<BR><BR>Rinse, repeat.<BR><BR>/mz<BR><BR>_______________________________________________<BR>The Web Security Mailing List<BR><BR>WebSecurity RSS Feed<BR><A href="http://www.webappsec.org/rss/websecurity.rss">http://www.webappsec.org/rss/websecurity.rss</A><BR><BR>Join WASC on LinkedIn <A href="http://www.linkedin.com/e/gis/83336/4B20E4374DBA">http://www.linkedin.com/e/gis/83336/4B20E4374DBA</A><BR><BR>WASC on Twitter<BR><A href="http://twitter.com/wascupdates">http://twitter.com/wascupdates</A><BR><BR>websecurity@lists.webappsec.org<BR><A href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</A><BR></FONT></P></DIV></BODY></HTML>