Certificado de seguridad de la Agencia Tributaria

Hoy me dispongo a pagar mis impuestos. Entro en la página de la Agencia Tributaria y accedo a la Oficina Virtual donde se pueden hacer todo tipo de gestiones (con la firma electrónica claro) … veo que han cambiado el diseño , hmmm , muy bonito , más fácil de encontrar todo, pero … de repente … PLAF !

Que lo haga Confianza Online, vale, pero Hacienda … Sin comentarios

Bibit caído por Navidad

Ayer, una de las mayores plataformas de pagos por Internet, Bibit, que entre otras grandes empresas provee de pasarela de pago a las tiendas de Pixmania, estuvo caída de 18:00 a 20:31 GMT como indica en parte de su nota de prensa:

Between approximately 18.00 and 20.31 GMT today, 22nd December 2009, we experienced intermittent issues affecting payment processing.

This issue affected shoppers' ability to access our payment pages as well as merchant xml requests failing.

Please accept our apologies for the inconvenience caused.

Es increíble que hoy en día haya sistemas que tendrían que funcionar 24 horas pero que, en mitad de época navideña, cuando más movimiento hay en el comercio electrónico, se puedan permitir el lujo de estar sin servicio durante más de 2 horas en un día entre semana y a horas diurnas.

Si es una cagada de sus sistemas, mal por ellos. Y si es un ataque externo … ¿qué clase de empresa de este calibre no tendría sistemas de contingencia para estos casos? Conozco bien los sistemas de pago y pasarelas, e incluso he conocido pequeñas empresas en Europa que facturan 100 veces menos que Bibit (que por cierto, pertenecen al popular Royal Bank of Scotland) pero que pueden estar con los servicios funcionando porque simplemente, … lo tienen bien montado.

Desde aquí recomiendo encarecidamente NO usar esta pasarela de pago. No por esta vez. Ésta ha sido la quinta vez en lo que va de año que el servicio se cae más de 1 hora. Al menos esta vez han tenido la decencia de comunicarlo y aceptar que es un error, ya que en pasadas ocasiones el soporte hizo oídos sordos completamente.

Dentro de poco me embarco en un proyecto grande que requiere pasarela de pago … ¿alguien conoce alguno competente de verdad?

Google controlandolo todo

Esta mañana me entero de una noticia en Genbeta en la que se publica el nuevo Google DNS.

Lo primero de todo entendamos lo que es un DNS para saber de qué hablamos (saltaos esta parte los que ya lo sabéis)

Qué es un servidor DNS y una dirección IP

La comunicación en Internet está basada en lo que conocemos como direcciones IP. Sin embargo a los humanos nos resulta tremendamente difícil retener en la memoria que http://86400.es es 194.69.254.50 (por ejemplo). Para evitarnos esta tarea disponemos de los servidores DNS (Domain Name Service), un entramado de servidores que contienen una base de datos que asocia los entre nombres de dominio con las direcciones IP. Como si fuera una gran tabla de asociaciones de las verdaderas direcciones de Internet (las IP) y los nombres "fáciles de recordar" (los dominios).

Cada vez que queremos visitar una página web, nuestro ordenador se conecta a un servidor DNS, generalmente provisto por nuestro ISP (Internet Service Provider), donde consulta cuál es la dirección IP para la página web tecleada.

Peus Google ahora ha presentado Google DNS. Esto lo puedes configurar en tu ordenador (hay miles de manuales por la red para cambiar las dns). He probado las nuevas DNS de Google y realmente van más rápidas que las que tenía puestas de mi proveedor (Telefónica).

"Van más rápidas" quiere decir lo siguiente. Cuando tecleamos un dominio en el navegador veréis que en la barra de abajo pone los siguientes mensajes : 1) "Resolviendo dominio.com"; 2) "Conectando a dominio.com"; 3) "Esperando de dominio.com"; 4) "Transfiriendo de dominio.com". El primer paso de todos es la conexión a las DNS, a esos servidores que nos dicen realmente la IP a donde queremos conectarnos. El resto de pasos ya es comunicación entre tu máquina y donde están realmente las páginas web.

Pues bien, ahora, las DNS de Google "resuelven" mucho más rápido que las de Telefónica, con lo que nos ahorramos unos "trocitos de segundos", que multiplicados por la cantidad de "resoluciones de DNS" que hay que hacer mientras uno navega, pues digamos que al final … se nota la velocidad.

Pero … ¿es que nadie se ha dado cuenta de un pequeño detalle?. Si pones las DNS de Google, Google sabe todo lo que visitas cada día.

 
Google controla mediante cookies lo que buscamos en su página (todos la usamos diariamente), con lo que Google conoce un perfil de lo que buscamos en la red a través de Google.es.

Pero Google ahora quiere ir más allá. Teniendo configuradas sus DNS en nuestra conexión a Internet sabrán además todo lo que visitamos en cada momento, pudiéndose hacer un perfil muchísimo más detallado de nuestros gustos, aficiones, y en fin, lo que vemos cada día en la red.

Ya comenté hace tiempo lo peligroso de tener una cuenta en Google y usar algunos de sus servicios, pero ahora quieren saber el trozo del pastel de nuestra identidad digital que les faltaba: lo que navegamos.

Imagináos mi caso por ejemplo. Tengo una cuenta Gmail, uso algunas veces Google Docs, uso su buscador todos los días decenas de veces y ahora (si pusiera las DNS, que no las voy a poner) , sabrían por donde navego. Con ello podrían saber mi cuenta de Facebook, Flickr u otros sitios donde voy asiduamente, con lo que podrían unir todo el perfil de todos los sitios que navego y tengo cuentas.

No hace falta saltar al futuro ni pensar en inteligencia artificial para crear un programa informático que saque "mi ficha", con lo que Google tiene más fácil poner anuncios personalizados en el buscador, en el correo, etc …

Lo pienso y realmente me dan escalofríos … en serio, pensad bien si queréis poner las DNS de Google en vuestro ordenador y que Google sepa todo lo que visitáis. Una cosa es que lo sepa Telefónica o tu ISP, que por ley de protección de datos en España "no pueden hacer" nada si no es por vía judicial. Y otra que Google tenga un histórico de todas las páginas que visitas.

Miedo me da … el problema está en si siempre van a ir con ese rollo de "hacer una internet mejor porque sí" … ¿cuando cambiarán a algo más tenebroso? Mientras fuera hacer un perfil para personalizarte la publicidad, pues tampoco sería para tanto… el problema es que sea otra cosa lo que tienen en mente.

¿Qué será lo siguiente? ¿Google Remote Hard Disk para guardar todo nuestros datos en sus servidores? … (¡Mierda!, espero que Google no lea esto y les dé una idea … aunque seguro que ya están trabajando en ello)

ConfianzaOnline, donde hay confianza … da asco

ConfianzaOnline, la empresa que (y cito textualmente de su página Web) "tiene el objetivo de fomentar el uso y la navegación de forma tranquila y segura en Internet y los medios digitales" vuelve de nuevo a proclamar su seguridad y confianza, y digo de nuevo, porque ya hace unas semanas le descubrí un <ironic>pequeño</ironic> problema de inyección SQL que ya publiqué aquí.

Esta empresa, después de pasar unos "estrictos" controles de confianza (que yo he pasado y los he vivido) y pagar una cantidad de dinero que van entre 300 y 1000 euros, te proporciona un sello de confianza que consiste en un pequeño código que tu insertas en tu página web y luces "con orgullo" para que tus visitantes crean que eres más confiable. El código imprime una imagen con el logotipo de ConfianzaOnline que se puede pulsar y va a tu "ficha de cliente" de ConfianzaOnline.

Desde hace unos días, al pulsar en estos enlaces que existen en más de 1000 páginas web de comercios, te lleva a una página en la que aparece una alerta de certificado con una frase bien bonita y grande (depende de cada navegador) que pone "Esta conexión no está verificada".

Captura de pantalla de lo que se encuentra un usuario al pulsar en el logotipo de ConfianzaOnline de cualquier comercio, probablemente, se vaya atrás …

Captura de pantalla con los detalles técnicos y "entiendo los riegos" desplegados , donde explica el motivo técnico … un usuario medio no continuaría …

Yo soy técnico y programo páginas Web, y se perfectamente que es un problema de instalación del certificado de seguridad, ya que no tiene certificado emisor conocido, probablemente porque el SSL no tiene bien puesto el certificado CA, pero … ¿que ocurre con los que no son técnicos?. Yo soy un comprador medio , un usuario medio en Internet , y voy a una tienda en la que veo un logotipo que supuestamente da confianza y pulso en él para saber que confianza tengo de compra y me aparece un mensaje de que algo no está verificado … ¿qué pensaría?. Ni que decir que el usuario medio no sabe los riesgos ni como saltarse probablemente esta página. Lo más normal es que vuelva atrás en el navegador y regrese a la tienda con , sin duda , una buena dosis de desconfianza.

Supongo que las empresas adheridas a ConfianzaOnline podrían denunciar a ConfianzaOnline por los daños y perjuicios que puede estar ocasionando esto en los compradores de comercios que pulsan en estas imagenes, ya que los que pulsan buscan precisamente una dosis de confianza, y no es lo que se llevan ahora mismo. Esto estará sin duda afectando a las ventas de estos comercios.

Así que de nuevo, una empresa para "sentirse tranquilo en Internet", vuelve a mostrar su profesionalidad y dotes de confianza. Lamentablemente … vergonzoso.

Os lo digo como sufridor … el sello de ConfianzaOnline no vale la pena. No aumenta las ventas, y como podéis ver, a veces, incluso las espanta.

La seguridad de los que manejan nuestro dinero

Yo es que no se para que, en mi trabajo, me pego horas y horas de asegurar los datos que tenemos, cumplir la Ley de protección de datos, los estándares PCI, pasar auditorias de seguridad … si luego, ves como los que tendrían que hacer esto con una pulcritud y severidad extremas, se pasan por las narices las normas básicas de seguridad.

En conocida empresa de esas que te dejan "dinero rápido" para gastarte en lo que quieras y luego te lo cobran al 22% de comisión, navegando por su web me encuentro con un pequeñito fallo de seguridad (por decirlo de forma cínica). Resulta que si visitas su página web pero te da por poner después del dominio, el propio nombre de la empresa .txt (cosa que me ha salido de puta chiripa porque intentaba ver el robots.txt y se me ha ido la cabeza), ves algo del estilo:

¡Ups, anda, que cosas! Si son los datos de acceso a su servidor y a su base de datos. Uy, que despiste de algún (que se hace llamar o pone en su contrato) "administrador de sistemas" que ha dejado un lindo fichero de texto con los datos por si acaso está en la playa y se le olvida como entrar a la máquina.

Ni me atrevo a entrar esos datos ni lo voy a hacer, porque no quiero ni pensar lo que me puedo encontrar con ellos en una empresa que maneja dinero de la gente, cuentas bancarias y datos muy personales de los que "confían" su dinero.

Otro ejemplo más a la saca de la mierda de seguridad que hay en nuestro país en páginas muy gordas.

Problemas con la web de Renfe … ¡de nuevo!

De nuevo vuelvo a tener problemas con la página de Renfe, y es que, una Web dentro de un proyecto de tantos millones de euros y donde se ha despilfarrado el dinero de tal manera, tiene que dar problemas básicos, ya que si no, no sería una web "made by dinero del pueblo".

Ya que el amable señor que me ha contestado al teléfono de incidencias de Internet, me ha aconsejado que use Internet Explorer, ya que no podía completar mi compra con Firefox por un error R190, que ni el sabía que significaba, veo que en el encantador navegador que tanto debe admirar el grupo Indra, me sale la ventanita anunciándome que algunos elementos de la página no son seguros.

Bueno, yo soy programador, y se que los elementos que no se muestran bajo protocolo seguro serán algún iconito estúpido, pero … ¿qué sensación le puede quedar a todo el resto de los navegantes que no saben muy bien de qué va el mensaje? Si, si, a ese gran público que marcará la opción 1 en el teléfono de consultas que dice "pulse 1 si tiene problemas para imprimir el billete" …

Querida Renfe: ¿sabíais que no te puedes autenticar como usuario si no haces una búsqueda? ¿sabíais que vuestra página no cumple ningún standard y no puedes usarla bien con otros navegadores que no sean IE? ¿y que vuestro de sistema de captcha se puede saltar? Qué fácil es hacerse un pequeño programa que te avise cuando hay ofertas en los AVE hacia Zaragoza

Y ahora, para los que sepan programar en Javascript … mirad alguna de las funcioncitas que me encuentro … de lujo oye

// ——————————–
// Comprueba si cadena es un número
// ——————————–
function esNumero(cadena)
{
// Si lo que recibe no es una cadena devuelve falso.
if (typeof(cadena) != "string")
{
return false;
}

if(cadena == "")
{
return false;
}

var numeros = "0123456789″

for(var i=0; i {
if(numeros.indexOf(cadena.charAt(i)) == -1)
{
return false;
}
}

return true;
}

Un poco más y crean una biblioteca para esta función De estas hay un buen número de ellas, a cada cual más interesante por el código fuente de los 15 JS de 274K de código … ¡infumables!

Empresa de traducción de idiomas usando Google Translate

Todavía prefiero no publicar aquí el nombre de la empresa, pero tengo tal rabia en el cuerpo que necesito expresar y contaros el problema que hoy he descubierto con una empresa con la que trabajaba desde hace unos meses.

Resulta que necesito normalmente traducciones en varios idiomas, y claro, yo sólo sea el mio y con tacos (como decía Bruce Willis en no se qué película) … bueno e inglés también, pero nada más. Así que, como sería lo normal, se busca un profesional o una empresa que te haga las traducciones.

Lo importante es que la persona o la empresa sea realmente nativo. Por mucho que sepas un idioma, o por mucho que lleves 5 años en un país, uno sólo sabe su idioma si es su idioma materno y ha vivido toda su vida (o gran parte de ella) en dicho país, sobre todo cuando quieres que tus frases "suenen a ese idioma de este país", con expresiones del país y con "toques" de ese idioma/país, que es muy difícil que alguien (por mucho título que tenga) pueda llegar a saber.

Una vez encontrada la empresa, una de las grandes, que ves que tienen cientos de trabajadores y servicios "profesionales" de traducción, empiezas a trabajar con ellos.

Hasta que un día recibes una traducción "algo rara" en inglés, y como el inglés aún lo controlo algo y veo que hay algo muy raro en la traducción, decido tirar un poco de la cuerda, y tras descubrir algún error más escribo un email para quejarme del servicio. Eran errores tan raros, que se me ocurre usar el Google Translator para adjuntarlo al email como diciendo "fíjate, que incluso este traductor online lo hace mejor que vosotros", cuando mi sorpresa es que me sale como resultado exáctamente la misma traducción que me habían dado ellos, con los mismos espacios, puntos, comas, y, sobre todo, fallos.

Cómo se le queda la cara a uno de "palurdo" y "estafado" cuando se da cuenta que ha estado confiando las traducciones profesionales a una empresa que "cuando quiere" intenta "colar" una traducción al inglés hecha con "Google Translator".

No tengo palabras. En cuanto pasen unos días, y depende de lo que me contesten, seguiré contanto la historia, y, en su caso, daré el nombre de la empresa.

Estoy todavía alucinando

Actualización: Ya que me han meneado la noticia, y como bien dice el comentario 6 en Menéame estaría bien tener alguna prueba de esta historia.

Como comentaba, la empresa prefiero no decirla por ahora, ya que quiero hablar con ellos, con el jefe de este "traductor", a ver cómo suceden las cosas, pero si que puedo poner aquí la traducción que me hizo, y que me hizo empezar a sospechar que pasaba algo.

La traducción era esta (viene de un texto más grande, obviamente):

[ ... ] <p>Gracias a ella y a nuestros asesores sabemos cuáles son tus ideas y…¡las hacemos realidad!</p><p>Y ahora … tenemos <b>una sorpresa para tí …</p> [...]

Obivamente, las empresas de traducción de hoy en día, te respetan el HTML que puedas tener en tu texto, como saltos de línea o negritas, como es el caso … Lo que me dieron es esto:

[ ... ] <p> Thanks to her and our consultants know what your ideas do y. .. the fact </ p> And now … NEWS we have a surprise </ b> for you …</ p> [ ... ]

Me empezó al principio a mosquear que las etiquetas HTML me las habían modificado, algunas borrado. Luego lo que más saltó a mi vista es lo de "your ideas do y. .. the fact", y para colmo fué el "NEWS" en mayúscula y totalmente inventado.

Esto es lo que, como cuento en la historia, me hizo ir precisamente a Google Translate para hacer la traducción del texto original y añadirlo en la carta que estaba haciéndo de queja a la empresa, como para decir "mirad, que hasta Google Translate lo haría mejor", cuando en verdad, una vez comprobado, la frase se convirtió desgraciadamente en "es que lo han hecho con Google Translate".

Como comentaba, quiero esperar sus reacciones, pero no dudéis en que publicaré en una segunda historia el nombre de la empresa de traducción para que conste en acta la barbaridad que hemos sufrido.

Lo que más me asusta es … ¿tendremos en la página actual burradas de este tipo en otros idiomas como el alemán, del que no soy capaz de ver un fallo porque no tengo ni idea? ¿se les puede denunciar? (espero que si).

Los Audi tienen que demostrar lo que son

Te gastas un dineral en un Audi y, obviamente, tienes que querer mostrarlo y pavonearte de todos por la autopista, ¿no? Hoy he vuelto de Zaragoza y lo he hecho a la velocidad de crucero que siempre pongo estable durante todo el viaje: 125 km/h.

Ya venia de otros viajes con la idea de hacer un conteo, y así lo he hecho. En las poco mas de 2 horas y media que ha durado el viaje me han adelantado 139 veces, de las cuales 61 ha sido un coche de la marca Audi. Por otra parte decir que yo he tenido que adelantar a varios coches, y ninguno de ellos ha sido un Audi.

Mi primera deducción es que los Audi corren bastante o mejor dicho que los que los tienen quieren hacerlos correr bastante. Pero antes de que alguien salte diciendo que estos coches, si te los compras, es para correr con ellos, decid que yo mismo he adelantado a BMW, o a Mercedes CLK sin problemas, y que yo mismo he tenido en mi vida un Audi, y no he tenido que ir a 140 por hora para "lucirlo" por carretera.

¿Tanta prisa tenéis los que poseéis un Audi? ¿O es que la pasta de las posibles multas no os importa en absoluto?

ConfianzaOnline no dando mucha confianza online

¿Qué confianza da una empresa que se dedica a dar sellos de "confianza" y su Web tiene un clarísimo "SQL Injection"? Para los que no lo sepan, el SQL Injection es una técnica usada por los hackers para poder inyectar en los parámetros de las direcciones Web, comandos con el fín de poder ejecutar otros códigos a los que se deberían en una página Web.

Estos comandos pueden ir desde ver toda la base de datos, borrarla, o incluir archivos en el servidor para luego acceder al mismo.

ConfianzaOnline, la principal entidad que en España da los sellos de confianza en comercio eléctronico, tiene este pequeño problema ("pequeño" en tono cínico), y tras ver una ficha de un cliente que no existía (que había pulsado en una página, a la que, supongo, no le renovaron el sello pero dejaron el enlace), me di cuenta de un error claro en la página:

ERROR: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near " at line 1
Query: SELECT * FROM wp_categorias where id=

No hace falta ser "muy programador" de páginas Web para saber que no es muy bueno poner las instrucciones y comandos internos que se usan en la base de datos en los mensajes de error de la página. Ahora ya sé que tienen una tabla que se llama wp_categorias.

Investigando un pelín más me dedico a cambiar el parámetro de la dirección web donde se especifica el código de la empresa, y veo otro error, en el que veo una posible inyección de SQL:

http://www.confianzaonline.es/adheridos/ficha-entidad-asociada/?cod=-1;BLABLA;–;

ERROR: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'BLABLA;– order by url' at line 1
Query: SELECT * FROM wp_urls where eid=-1;BLABLA;– order by url

Aquí ya lo dejo, prefiero no seguir investigando y tirando del hilo, pero desde luego, que lo que no es normal es tener estos fallos en una Web que se supone venden confianza en Internet.

Y todo simplemente por una programación mal hecha cuando se borra un registro de su base de datos de una empresa con un número de identificación que no exista.

Por otra parte, viendo un poco su código fuente veo que la empresa IdeaUp, que creó la página Web, dejó un par de líneas comentadas con el entorno de pruebas donde programaron la página (http://clientes.ideup.com:4020), y que este entorno tiene algunos directorios "abiertos", lo que, seguro, investigando un poquito más podría dar algún que otro problema.

Por cierto, que usan un WordPress 2.6.3 … no quiero probar las vulnerabilidades que han sido saliendo desde entonces porque no me quiero llevar más sorpresas …

En fin, Confianza, lo que se dice Confianza … poca e IdeaUp, bueno, no les daría una página Web para que me la hagan

Derroche de ancho de banda

Cuando se quiere ver un video de alta calidad, con una ADSL normal, uno espera un rato a que se cargue el principio (buffering) de forma que tras unos 5/10 segundos se puede ver el video casi sin cortes. El ancho de banda, la cantidad de información que circula por la red desde el servidor a tu ordenador, está justificada, sobre todo porque los de Youtube (o el portal que esté sirviendo el video) han estudiado mucho que codec usar de compresión de video para tener la máxima calidad en el menor espacio posible.

De la misma forma, las páginas web deberían hacer lo mismo, pero desgraciadamente la tendencia es al pasotismo de dicha optimización, puesto que las ADSL soportan ya descargas de 1 mega en apenas unos segundos … ¿para qué voy a querer hacerlo más rápido?

Por muchas razones, pero dos sobre todo, una del lado del visitante y otra del lado de tu bolsillo. Quieras que no, no es lo mismo navegar por una web en la que se tarda unos 6/8 segundos en cargar cada página, que en la que puede mostrarse en 2/3 segundos. La navegación es mucho más fluida y está demostrado que en las páginas más rápidas la media de páginas vistas por sesión del usuario es mucho mayor. Así lo he podido comprobar en aquellas página que he optimizado, casi duplicándose la experiencia del usuario.

Por otro lado, cuando uno tiene que pagar la factura del servidor dedicado, y su contrato va por transferencia en lugar de "ancho de banda" (aunque en términos generales es "casi" lo mismo a la hora de contar), es mejor pagar o consumir menos "canuto", pues dejas "más espacio" a otros posibles visitantes concurrentes al sitio web.

Por tanto, es importante tener en cuenta la optimización de un sitio web. Se me ha ocurrido coger el del 20minutos, por ser una página que me saca de quicio cuando tengo que cargarla en el iPhone, ya que casi es 1 mega de información con todos los archivos que carga, y es famosa por su carga de contenidos.

La página home tiene 219 archivos, que van uno a uno a nuestro ordenador la primera vez que la cargamos. Afortunadamente, gracias a la caché, "sólo" son 49 los que hay que cargar por segunda vez. Entre ellos están 25 Javascripts, 33 hojas de estilo y más de 100 imagenes. Con apenas un primer nivel de optimización básica, se podría reducir el número de archivos cargados totales a menos de 160, comprimiendo JS y CSS. Las imagenes CSS podrían reducirse a un par, y las imagenes, haciéndo un breve estudio (tampoco le voy a hacer la consultoría entera gratuita al 20minutos ) se podrían reducir más de un 30% de su peso (no en número).

Así pues, se podría pasar de una página de 220 archivos con 960K de descarga, a otra de unos 120 archivos con 380K de descarga. Multipliquemos por unos 50.000 usuarios al día (supongo que tendrá más). El ahorro de descarga de transferencia por sus servidores al día sería de 29 terabytes, 20 veces más de lo que muchos disfrutan con un servidor dedicado, y seguro que unos cuantos de cientos de euros en la factura del periódico, además de, recordemos, una navegación mucho más agradable y rápida para el usuario, pudiéndo aumentar el número de páginas vistas por sesión.

Esto es simplemente un primer nivel de optimización, ya que existen muchísimos otros factores en el lado del servidor donde está alojada la página, o incluso en el código fuente, que hacen que la página sea más rápida y óptima tanto para navegadores como para buscadores.

En tiempos de crisis, no deberíamos derrochar tanto byte