Vuelvo a vueltas con un tema con el que insisto de vez en cuando, hasta ahora sin ningún éxito.

Acabo de repasar las tiendas online de todas las editoriales roleras españolas que he conseguido recordar, y alguna tienda online que no es de ninguna editorial. El panorama desde el punto de vista de la seguridad es desolador. Ninguna, repito NINGUNA de las webs que he mirado implementa correctamente seguridad HTTPS. TODAS son vulnerables al robo de contraseñas en los formularios de registro y entrada, ya que son HTTP. Son vulnerables a ataques tipo man-in-the-middle para, por ejemplo, sustituir la pasarela de pagos legítima por una maliciosa destinada por ejemplo al robo de credenciales bancarias o de paypal, ya que las paginas son HTTP.

Las páginas que he revisado son:

Nosolorol
Edge Entertainment
Tesoros de la Marca
La Factoría de Ideas
Holocubierta
Ediciones Epicismo
Proyecto Arcadia
HT editores
Callejon Dragon

En tiempos la web de Conbarba sí implementaba correctamente seguridad HTTPS, pero parece que su web ha desaparecido y ahora redirige a la de Nosolorol (insegura).

Los que sepais algo de seguridad en internet os estareis tirando de los pelos como yo. Para los que no, el resumen es que en 2016 se considera absolutamente inaceptable que una página de comercio electrónico no tenga al menos formularios de registro y entrada seguros, así como páginas de checkout (el final del proceso de compra, antes de pagar) seguras. Cuando digo seguras quiero decir que al menos se fuerce HTTPS con un certificado TLS válido y en vigor. Y sin embargo parece que en este nuestro mundillo lo habitual es saltarse este mínimo de seguridad a la torera.

Como digo de vez en cuando doy un toque en público con este tema. Las respuestas van entre ignorarme y responderme "estamos con la nueva web que arregla esto, en unas semanas estará lista". Y hasta hoy no cambia nada. Parece que tenemos suerte al ser un mundillo tan pequeño y los malvados hackers no se han fijado en nosotros para intentar robarnos. Pero cualquier día la suerte se nos acaba.

Hoy Google ha anunciado que en las siguientes versiones de Chrome las páginas que no cumplan estos mínimos de seguridad saldran con un aviso rojo bien grande de que son inseguras. A ver si esto hace que algunos muevan ficha de una vez para garantizar la seguridad de sus clientes:

http://blog.chromium.org/2016/09/moving-towards-more-secure-web.html
Shared publiclyView activity