Spain/Projects/DNIe

From OWASP
Revision as of 07:11, 11 February 2012 by Raul Siles (Talk | contribs)

Jump to: navigation, search

Contents

OWASP DNIe

El objetivo del proyecto OWASP DNIe es evaluar y mejorar la seguridad de las aplicaciones web que hacen uso del DNI electrónico (DNIe), documento nacional de identidad (DNI) electrónico en España, para la autenticación de usuarios, así como la posterior gestión de sesiones y controles de acceso.

Dentro de las aplicaciones web que hacen un uso intensivo del DNIe para la identificador de usuarios, ciudadanos con identificación oficial en España, se encuentran tanto servicios proporcionados por la administración pública española y sus diferentes organismos, como servicios y aplicaciones web de empresas y organizaciones privadas, donde destacan especialmente los servicios de banca on-line.

El proyecto OWASP DNIe está compuesto por diferentes actividades (o subproyectos) cuyos objetivos principales (propuestos inicialmente) son identificar las tecnologías y los mecanismos más comúnmente utilizados en las aplicaciones web para interactuar con el DNIe, evaluar las vulnerabilidades más comunes en aplicaciones web que utilizan el DNIe para la autenticación de usuarios (incluyendo vulnerabilidades en la autenticación, gestión de sesiones y control de acceso de la aplicación web), la creación y difusión de herramientas que faciliten la realización de auditorías, pruebas de intrusión y análisis de seguridad de aplicaciones web basadas en el DNIe, así como la publicación de una serie de mejores prácticas y recomendaciones de seguridad para el diseño y creación de aplicaciones web basadas en el DNIe.

Actividades

Las diferentes actividades se irán abordando en etapas independientes durante el 2011 y 2012, comenzando con la primera de las actividades (o subproyectos) del proyecto OWASP DNIe:

 DNIe-1: Identificación de los mecanismos y tecnologías de utilización y gestión del DNIe en aplicaciones web

  • Fecha de inicio: Junio 2011
  • Descripción: El propósito del primer subproyecto de OWASP DNIe, "Identificación de los mecanismos y tecnologías de utilización y gestión del DNIe en aplicaciones web" (DNIe-1), es recabar información de las tecnologías y mecanismos empleados para la creación de aplicaciones web basadas en el DNIe, a través de los responsables y/o personal involucrado en el diseño y programación de aplicaciones web basadas en el DNIe en España (jefes de proyecto, desarrolladores, arquitectos, administradores, consultores, profesionales de seguridad, etc).
  • Objetivo: El objetivo principal es identificar los entornos y tecnologías más comúnmente empleados para la gestión del DNIe en aplicaciones web y recopilar estadísticas y detalles sobre éstos. Esta información permitirá a la comunidad española de seguridad y de desarrollo de aplicaciones web conocer las diferentes alternativas tecnológicas disponibles y qué están siendo empleadas actualmente en entornos reales.

Miembros

El proyecto OWASP DNIe ha sido creado en Junio de 2011 por el capítulo español de OWASP (https://www.owasp.org/index.php/Spain) y es liderado por Raul Siles, Fundador y Analista de Seguridad de Taddong (http://www.taddong.com).