XperimentoS

La OWASP (Open Web Application Security Project) ha publicado una actualización del ranking de los riesgos más importantes que afectan a las aplicaciones web.

Su misión es concienciar a la industria sobre los riesgos de seguridad, en el ámbito de las aplicaciones web, identificando y remarcando las diez amenazas más serias a las que se expone.

En esta edición de 2010 han efectuado un cambio significativo en la metodología usada para la elaboración del top. En vez de estimar una amenaza por su frecuencia (las más comunes) se han tenido en cuenta múltiples factores para el cálculo de cada una de ellas, dando lugar a un ranking de riesgos evaluados por su vector, predominio, detectabilidad e impacto.

La edición del 2010 presenta las siguientes categorías:

A1 – Inyecciones.
Vulnerabilidades de inyección de código, desde SQL hasta comandos del sistema.

A2 – Cross-site Scripting.
El anterior número uno. Una de las vulnerabilidades más extendidas y a la par subestimada.

A3 – Gestión defectuosa de sesiones y autenticación.
Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación.

A4 – Referencias directas a objetos inseguras.
Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.

A5 – Cross-site Request Forgery.
Se mantiene en el mismo puesto anterior. Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante.

A6 – Ausencia de, o mala, configuración de seguridad.
Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web.

A7 – Almacenamiento con cifrado inseguro.
Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o manejados por la aplicación.

A8 – Falta de restricciones en accesos por URL.
Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas.

A9 – Protección insuficiente de la capa de transporte.
Relacionada con A7 pero orientada a la protección del tráfico de red.  Elección de un cifrado débil o mala gestión de certificados.

A10 – Datos de redirecciones y destinos no validados.
Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.

Fuente:

• Hispasec

Más información:

• Sitio principal de OWASP
• OWASP Top 10 for 2010 [PDF]

Son muchos los interrogantes que se presentan cuando los ciudadanos recogen su recien renovado dni “electrónico”.

La Web usatudni.es es un lugar en el que encontrarás toda la información para poder utilizar tu DNI electrónico y aprovechar las posibilidades que te ofrece.

En las secciones “Qué es” y “Cómo utilizarlo” tendrás amplia información sobre el DNI y sus características: firma electrónica, certificados, PIN…

¿Qué puedo hacer con el DNI electrónico?
Existe un gran número de servicios a los que puedes acceder a través de Internet,  sin desplazamientos ni tiempos de espera. En la sección “Servicios” te destacamos algunos de los más utilizados y te facilitamos el acceso al listado completo de los servicios disponibles que se recogen en el portal dnielectronico.es

Cómo puedo acceder a estos servicios
Para acceder a estos servicios se podrá realizar desde las url facilitadas en los enlaces anteriores, pero además deberás disponer de un lector de tarjetas que cumpla las especificaciones técnicas indicadas en www..dnielectronico.es.

Este lector es necesario configurarlo para lo cual se deberá descargar el software adecuado en función del sistema operativo (Windows o Linux) que utilice su PC:

Drivers CSP para sistemas Windows o las distribuciones de linux.

Hoy, 25 de febrero 2010), se han publicado dos Reales Decretos, del Ministerio de la Presidencia, en relación a la normativas  de presentación de solicitudes, escritos y comunicaciones ante la A.G.E. y emisión de comunicaciones en el marco de la ley 30/1992. 

 Las modificaciones introducidas vienen marcadas por la ley 11/2007, LAESCP, y la Ley 17/2009 que traspone la directiva sobre liberalización de servicios.

Real Decreto 136/2010, de 12 de febrero, por el que se modifica el Real Decreto 772/1999, de 7 de mayo, por el que se regula la presentación de solicitudes, escritos y comunicaciones ante la Administración General del Estado, la expedición de copias de documentos y devolución de originales y el régimen de las oficinas de registro:

RD 136/2010

 Real Decreto 137/2010, de 12 de febrero, por el que se establecen criterios para la emisión de la comunicación a los interesados prevista en el artículo 42.4 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común:

RD 137/2010

El último día del Año se publicó la Orden PRE/3523/2009, de 29 de diciembre, por la que se regula el Registro Electrónico Común.

Con ella se da cumplimiento a las previsiones normativas del Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio.

Dicho Real Decreto, en su su artículo 3, crea e1 el Registro Electrónico Común de la Administración General del Estado, que posibilitará la presentación de cualesquiera solicitudes, escritos y comunicaciones dirigidas a la Administración del Estado y a sus organismos públicos.

Se establece como punto de acceso al mismo, la Web 060, en tanto entra en funcionamiento de la sede electrónica del Punto de Acceso General de la Administración General del Estado.

El Consejo de Ministros de 8 de enero ha recibido también el Informe sobre el cumplimiento de los compromisos definidos en la Ley de Acceso Electrónico de los ciudadanos a los Servicios Públicos.

Dicho Informe señala que a día de hoy ya se puede acceder al 96,4 por 100 de los trámites de la Administración General del Estado a través de medios electrónicos, de los cuales, más de 2000 (84,1 por 100 del total) son procedimientos administrativos.

Entre otros servicios, se puede solicitar a través de estos medios la vida laboral, realizar la declaración de la renta, solicitar la prestación económica por hijo, consultar los puntos del carné de conducir, gestionar la prestación por desempleo, solicitar becas, etcétera. Asimismo, las empresas pueden realizar la totalidad de sus tramitaciones con la Agencia Tributaria y la Seguridad Social.

Todos estos trámites y servicios están disponibles en la página web de cada Ministerio u Organismo Público. Igualmente, pueden consultarse en la página web www.060.es, en el teléfono de atención al ciudadano 060 o de forma presencial en las más de 1.700 oficinas.

En este mismo sentido, desde el 31 de diciembre de 2009 está operativo el registro electrónico común, que permite recibir cualquier solicitud, escrito o comunicación electrónica dirigida a los Departamentos ministeriales u organismos públicos de la Administración General del Estado.

Asimismo, a partir del 28 de diciembre está disponible el portal de la Ventanilla Única de la Directiva de Servicios (www.eugo.es). Esta web permite obtener información e iniciar la tramitación para establecer una actividad de servicio desde Internet, eliminando las barreras para el libre establecimiento de actividades en la Unión Europea.

Enlace:

• La Moncloa
• Real Decreto 1671/2009, reglamento desarrollo parcial LAESCP
• Orden creación del Registro Electrónico Comun