[Owasp-spain] Proyecto OWASP DNIe

[Raul Siles]

Hola a tod en s,
A final de Junio anunciamos el proyecto local "OWASP DNIe" (ver
abajo). Tras la vuelta del periodo vacacional, es buen momento para
retomar la actividad del proyecto. El éxito de la primera actividad
(DNIe-1) depende únicamente de la comunidad y del número de
participaciones (anónimas o no).

Dado que por las vacaciones hasta ahora el número de participantes es
reducido... ¡os animo a participar y a ayudar a difundir el proyecto
entre vuestros colegas y conocidos!

Se ha modificado ligeramente la redacción de la primera pregunta del
formulario (por sugerencia de un participante), sin afectar a los
formularios de encuesta ya enviados, para clarificar que habitualmente
la autentificación mediante DNIe se realiza directamente a través de
HTTPS y certificados digitales cliente (opciones 1 a 4), o a través de
algún componente cliente, como applet de Java o control ActiveX (OCX),
ya reflejado en la opción 5 existente previamente: "La propia
aplicación web (ej...)".

El formulario de la primera actividad (DNIe-1) está disponible en:
http://www.surveymonkey.com/s/3SP5Z88

Un saludo,
--
Raul Siles - www.raulsiles.com
Founder & Senior Security Analyst
Taddong (www.taddong.com)




2011/6/27 Raul Siles <raul.siles en gmail.com>:
> Hola a tod en s,
> Con el objetivo de promover las actividades del capítulo español de
> OWASP, y ayudar también a animar la actividad de la lista de correo,
> os anuncio la publicación de un nuevo proyecto OWASP denominado "OWASP
> DNIe", que complementa el proyecto ya existente de "Especificación de
> Requisitos Legales para Aplicaciones Web"
> (https://www.owasp.org/index.php/Spain#tab=Proyectos).
>
> Los detalles del proyecto OWASP DNIe, objetivos y primeras actividades
> están disponibles en su página web (incluido el cuestionario de
> participación de la primera actividad):
>
> https://www.owasp.org/index.php/Spain/Projects/DNIe
>
> El propósito principal del mismo es llevar a cabo un proyecto de
> seguridad en aplicaciones web propio de España, que nos afecta a todos
> nosotros (y sólo a nosotros), y que se centra en uno de los mecanismos
> de autenticación de usuarios supuestamente más seguros, el DNIe
> (basado, como sabéis, en certificados digitales cliente y HTTPS-
> SSL/TLS).
>
> Por otro lado, la primera actividad, "Identificación de los mecanismos
> y tecnologías de utilización y gestión del DNIe en aplicaciones web"
> (DNIe-1), requiere de la colaboración de la comunidad de seguridad y
> de desarrollo de aplicaciones web de España, por lo que no dudéis en
> promover y "correr la voz" de su existencia. Cuanta más participación
> tengamos, más fiables y útiles serán los resultados obtenidos.
> Recordar, estaremos recopilando datos hasta el 16 de octubre de 2011,
> es decir, tenemos unos tres meses y medio por delante.
>
> Asimismo, si alguien está interesado en colaborar, o tiene ideas sobre
> como analizar y mejorar desde el punto de vista de seguridad de la
> utilización del DNIe por parte de las aplicaciones web españolas, que
> no dude en comentármelo personalmente, o a través de la lista. Ya
> disponemos de una serie de actividades (o subproyectos) adicionales
> que iremos abordando dentro del proyecto OWASP DNIe según vayamos
> completando las actividades iniciales (comenzando por DNIe-1).
>
> Un saludo,
> --
> Raul Siles (www.raulsiles.com)
> Founder & Senior Security Analyst
> Taddong (www.taddong.com)
>