GOPHERSPACE.DE - P H O X Y
gophering on hngopher.com
HN Gopher Feed (2017-10-28) - page 1 of 10
 
___________________________________________________________________
The OWASP Top 10 is killing me
52 points by sidcool
https://insights.hpe.com/content/hpe-nxt/en/articles/2017/10/the...
17/10/the-owasp-top-10-is-killing-me-and-killing-you.html
___________________________________________________________________
 
gcb0 - 1 hours ago
I love OWASP. but everything they do has zero usability.At times it
looks like a bunch of 7yr old trying to mimic a big
corporation.This list is a huge example of it. Instead of a text,
they have a repo, that generates a huge PDF, mentioned in a press
release, with the release described verbosily in a wiki!And I went
trhu all those hops, and I still couldn't find a single link that
points me to what "Injection" means.
 
partycoder - 48 minutes ago
A functional prototype is not finished software, but it is for many
people considered to be a product.Functional prototypes in many
cases do not even implement their functional requirements properly,
let alone the non-functional ones like security.Security in any
form is not a priority for many startups. Especially the ones that
aim to be acquired before their hot potato blows up.
 
beager - 3 hours ago
The OWASP Top 10 isn't changing because we can't (or won't) stop
not patching those issues. Quite telling that when talking about
how to move beyond the baseline security struggles of the OWASP Top
10, TFA provides only superficial suggestions, rather than actual
links to libraries, tools, and implementation guides that can be
used to quash or audit OWASP Top 10 issues.
 
nfriedly - 38 minutes ago
This is one thing I like about IBM: they have a separate security
team that audits stuff before you ship it. I was working on a react
app where I set up server-side rendering, and then had it JSON-
encode the state and dump it into a script tag in the end of the
HTML. My thinking at the time was "It's JSON-encoded, and it's all
the user's own data anyways, so it's safe."Eventually I needed
something from the querystring and for whatever reason put it into
the state.  It turns out that a