Archivos de la categoría web

Candados (por Sylwia Bartyzel)

SSL para dummies: gestión de certificados y PKI

A mediados de 2014 Google indicó que iba a considerar los certificados SSL (Secure Sockets Layer) como un elemento relevante en su algoritmo de posicionamiento (artículo en Google Webmasters Central (EN)).

A mediados de 2015, la fundación Mozilla junto con otros partners (EFF, Akamai, Cisco…) tiene previsto ofrecer certificados SSL “autoinstalables” de forma gratuita a través de su entidad de certificación (CA), Let’s Encrypt.

Y es que la cantidad de sitios web con certificados SSL no ha hecho más que crecer.

Imagen de encuesta de SSL de Netcraft
Imagen de encuesta de SSL de Netcraft

Aun así, el mercado de los SSL está en mano de unos pocos proveedores: Symantec, GoDaddy y Comodo tienen el 75% del mercado de SSL.

De forma resumida, un certificado SSL nos permite establecer una comunicación segura entre nuestro navegador y la página web de destino, gracias a que hay un tercero, la autoridad de certificación (CA) que es la que asegura que el destino al que navegamos es quien dice ser.

Para entender bien como funciona, no es necesario, pero sí interesante, conocer términos como cifrado asimétrico, PKI (Public Key Infraestructure) o la ya mencionada CA (Certificate Authority).

Como funciona la infraestructura de clave pública (PKI)

El cifrado asimétrico se basa en el intercambio de claves públicas para cifrar el contenido que solo el poseedor de la clave privada puede descifrar o para ser capaces de identificar al emisor.

El emisor cifra la información usando su clave privada y envía la clave pública al receptor. Con la clave pública, el receptor cifra el mensaje que solo la clave privada puede descifrar con lo que la comunicación del mensaje es segura.

Esquema de cifrado asimétrico
Cifrado asimétrico (por RealTimeLogic)

Este sistema también se utiliza para la firma de mensajes.

Igual que antes, solo el emisor posee la clave privada con la que se cifra el mensaje. El emisor proporciona al receptor la clave pública y con ella puede descifrar el mensaje. Como solo el emisor puede cifrar los mensajes de esa clave pública, nos sirve para identificar al emisor, pero no para mantener seguro el mensaje ya que se puede descifrar usando la clave pública.

Firma asimétrica
Firma asimétrica

Firma digital de mensajesEl problema de estas comunicaciones es que aunque identifiquemos al emisor, ¿cómo podemos confiar en él?

TLS/SSL resuelven este problema utilizando un tercero de confianza. El protocolo TLS/SSL utiliza una clave simétrica, y se utiliza el cifrado asimétrico para enviar una firma cifrada con la clave privada del emisor junto con la clave pública necesaria.

Los certificados y la PKI

Componentes de un certificadoDe cara a establecer una relación de confianza, hay unas autoridades de certificación (CA) que son las que nos aseguran que el receptor es quien dice ser. Para que el emisor confíe en el receptor, este debe tener firmado su certificado público por una CA de confianza.

Los certificados de los CA, con sus claves públicas, están almacenadas por defecto en los navegadores.

Durante la comunicación navegador-servidor, lo que se produce es:

  1. El navegador solicita identificar al servidor
  2. El servidor, envía su certificado público
  3. El navegador comprueba la validez del certificado
  4. El navegador comprueba ahora la validez del CA, del tercero de confianza, en su lista de CA
  5. Si el certificado público es correcto, y el CA que lo ha firmado es de confianza, el navegador debe comprobar que el nombre del servidor (el dominio) del certificado es es el mismo con el que se está comunicando
  6. Si es así, el navegador puede confiar en que se está comunicando con un servidor concreto de forma segura
Esquema de validación de certificados
Esquema de validación de certificados

Referencias

¿Por qué nos importa tan poco la privacidad?

Y no me digáis que no, porque no es cierto. A diario veo gente que permite el acceso a información privada o incluso directamente la comparte con todo el mundo sin mayor problema.

Algo que, si se lo preguntaran directamente jamás lo haría. ¿Por qué hacemos esto?

Gaviotas (de Oliver Berghold)

Personalmente creo que es una batalla perdida y en la que, realmente, solo batallan unos cuantos raros. ¿Es porque no nos importa lo que sepan de nosotros?

Realmente no. Es porque no sabemos lo que estamos compartiendo ni qué puertas dejamos abiertas, porque no las vemos.

Estoy seguro que si te paras a pensar en para que se puede utilizar la aplicación que estás descargando, quizá (y solo quizá) te plantearías que puedes vivir sin ella o con alguna alternativa. Seamos claros, si no vemos las consecuenciás no es porque no esté pasando nada… es porque no estamos mirando.

Empiezo a entrar en modo paranóico y ahora miro mucho más que hace unos años los permisos que requiere una aplicación de móvil, qué cuenta de correo y datos doy para según que webs y aplicaciones o los ingredientes y países de origen de los alimentos que como, qué le vamos a hacer.

Seamos claros, si no vemos las consecuenciás no es porque no esté pasando nada… es porque no estamos mirando

Esto es simplemente higiénico porque tanto empresas como aplicaciones tienen mucha más información de la que yo conscientemente les dejo utilizar y ni que decir de la diferencia con la información que realmente necesitan. Otra cosa es que la utilicen o no.

Algunos casos por los que creo que “nos da igual” nuestra privacidad:

  • Desconocimiento.
    Como con un contrato, al instalar o usar algo realmente no sabes lo que está ocurriendo. Simplemente te fías.
    Como con un contrato, la mayoría de las veces no te das cuenta hasta que ocurre algo
  • Ubiquidad del servicio.
    Operativos como Android o iOS recopilan información ingente y lo que se obtiene de de nuestras tarjetas de crédito mejor no pensarlo. Son transparentes a estas alturas y ni nos planteamos que se está haciendo algo con esa información.
  • Confianza ciega en que la gente es buena.
    Nadie espabila en cabeza ajena, así que es cuestión de tiempo y de tener algún accidente.
  • Permiso consciente.
    ¿De verdad? Bueno, puedes sacrificar cierta información si lo que obtienes a cambio realmente te interesa.

Referencias:

Copias de seguridad con Duplicati servicios con soporte WebDAV

Logo de Duplicati

Duplicati es un cliente de backup gratuito y de código abierto que se puede utilizar con multitud de protocolos FTP, S3 o WebDAV que permite realizar copias de seguridad de forma regular y segura ya que las copias están cifradas.

Ojo, es un cliente de backup no es simplemente copiar tus archivos a Dropbox o similar. Con Duplicati, puedes realizar distintos tipos de copia y recuperar la información de cualquiera de las copias realizadas de forma sencilla.

En este artículo mostraremos como realizar una configuración sencilla de Duplicati 1.3.4 para realizar copias de seguridad en un servicio de disco que soporte WebDAV como puede ser el Disco Duro Online de Arsys.

La configuración es relativamente sencilla y solo hay que seguir los pasos del asistente para tener un backup de tu ordenador.

El pase de diapositivas requiere JavaScript.

El presente del email


Al igual que el correo estándar, parece que el email está aquí para quedarse. Parece mentira, pero un servicio con más de 45 años de antigüedad en informática (la protohistoria…) se utiliza a diario prácticamente como servicio principal.

Francamente, el servicio está aquí para quedarse, como digo (echad un ojo al artículo Email Will Last Forever). Hay muchas opciones de mejora, pero tal y como están los estándares hoy en día es complicado lograr el consenso que tiene ahora el email.

¿Os imagináis que todos los servicios de mensajería fueran compatibles entre si? Pues más o menos eso es lo que tenemos con el correo electrónico.
Las capas que añadamos al correo, serán siempre bienvenidas para conseguir una funcionalidad y experiencia más acorde a lo que buscamos en cada momento (comunicación inmediata, segura, trabajo en grupo…).

En los últimos 2-3 años, hay muchas iniciativas para reinventar el correo o, al menos, para potenciar características a las que, hasta ahora, no se las había prestado demasiada atención.

Alguna de las preocupaciones más habituales que podemos observar:

  • Seguridad y privacidad. Posiblemente la preocupación nº 1 a día de hoy. Gracias a la NSA nos damos cuenta, que GMail lee nuestros correos, o que cualquiera puede acceder a todas nuestras comunicaciones con muy poco esfuerzo.
    Un servicio de correo (o almacenamiento de datos… que lo mismo da) con conocimiento cero de nuestro contenido y comunicaciones es una funcionalidad cada vez más valorada.
    Podéis echar un ojo a OpenMailbox o, en general y para cualquier tema relacionado con la seguridad y privacidad, podéis echar un ojo a Prism Break
  • Ubicuidad e integración. Enviar recibir mails desde cualquier sitio y dispositivo es algo fundamental y a lo que nos hemos acostumbrado hace tiempo. No solo leer/recibir correos, sino también compartir contenido a través del correo desde cualquier sitio igual que hacemos con las redes sociales o enviar y almacenar el contenido en cualquier sitio.
  • Control de las conversaciones. ¿Se ha recibido el correo? ¿Lo han leído? ¿Cómo sigo las conversaciones? ¿Ha llegado a la inbox? Algunas funcionalidades propias de soluciones de envíos masivos son golosas de trabajar.
  • Trabajo en grupo/usabilidad/…. Aquí es donde surgen los nuevos interfaces, las nuevas formas de hacer, integraciones con otros servicios, etc. Por ejemplo, el caso de AOL, el de Mailpile.is, Hiri (solo para Office365) o “nuevas” funciones como propone Chat.cc o Mailtime

Tomando como base el correo hay todavía mucho por recorrer: tiene un presente y un futuro esperanzador este viejo conocido.

Cómo realizar fotografías de producto para tu tienda online

Una imagen sí que vale más que mil palabras en una tienda online. Mostrar tus productos de forma atractiva no es sencillo pero tampoco es tiene porqué ser excesivamente complicado.

A continuación os paso algunos enlaces de blogs de plataformas de ecommerce donde se aconseja cómo fotografiar los productos para tu tienda online y que queden profesionales

La misma imagen con distinta luz

Aparte del post-proceso de la imagen, una de las tareas más laboriosas es eliminar el fondo de la imagen. Para ello, aparte de maña y paciencia, hay también webs que hacen esa labor por ti a un coste más que asumible. Por ejemplo:

Alternativas para crear tu tienda online

Ojo, y digo crear la tienda online, que vender es otra cosa bien diferente.

Lo que está claro es que cada vez se vende más online (ver estudio IAB 2013), así que tanto si tienes una tienda física como si no, puede ser el momento de plantearse abrir una sucursal en Internet.

Worldwide B2C Ecommerce: 2013 Forecast and Comparative Estimates

Dependiendo de las necesidades que tengas, crear una tienda online puede ser realmente sencillo.

Podemos considerar los siguientes tipos de tienda:

Tiendas integradas en “centros comerciales”

AmazonRakuten o Pixmania son tiendas en si mismas, pero tienen opciones para que puedas vender tus productos también en sus plataformas.

La ventaja de empezar a vender tus servicios en estos centros comerciales es que tienes todo el proceso hecho (tienda, presentación de productos, pago, control de fraude…) y además parte del trabajo de atraer público y de posicionar tus productos ya lo ha hecho el centro comercial en sí.

Obviamente estas ventajas se pagan, lo que puede dejarte unos beneficios bastante menores de los que creías.

Comisiones Amazon Individual Amazon Pro Rakuten 1
Por venta 0,99 € 0,99 €
Coste mensual 39 €/mes 33 $/mes
Comisión (según categoría) 7% – 35% 7% – 35% 8% – 15%
Variable por venta 0 € – 2,10 € 0 € – 2,10 €

1 Las tarifas se han sacado de Rakuten.com

eBay es otra opción. La forma de venta, por subasta, es lo que le ha hecho famosa y el volumen de tráfico que atrae no es para despreciarse. Puedes ver sus tarifas, en la sección de Comisiones y tarifas de su web.

Podríamos incluir en este modelo también a Etsy, aunque su enfoque sea algo diferente.

Etsy, es un centro comercial que no vende sus propios productos, sino que hace de plataforma de venta para vendedores de productos de artesanía, manualidades y productos vintage.

Si te ajustas al perfil de vendedor, las comisiones son:

Por artículo publicado 0,20 $
Comisión por venta 3,50 %

En definitiva una buena forma de comenzar a vender con poco riesgo y ver qué tal funciona el negocio, aunque tienes que tener en cuenta las comisiones, como puedes ver.

Tiendas en modo SaaS

Tanto con productos de hosters tradicionales como puede ser Arsys, como servicios exclusivos de ecommerce como pueden ser Tiendy, Tol.do o Shopify, por ejemplo.

Son tiendas mucho más completas en funcionalidades (cada cual con sus peculiaridades) y suelen presentar planes crecientes con distintas características y precios.

Lo normal es que se cobren mensualmente, aunque Shopify también cobra una comisión por transacción realizada (de 2% a 0%, según el plan).

En este caso son tiendas con las que podemos crecer, y hay que tenerlo en cuenta a la hora de decidirse por una de ellas. Hay que mirar:

  • Variedad y facilidad de adaptar los diseños
  • Número de productos, opciones para categorizarlos, etc.
  • Formas de pago (TPV, Paypal…) y de envío (contra-reembolso, MRW, Seur…)
  • Opciones de marketing: descuentos, cupones…
  • Facilidades de gestión de clientes y de facturación
  • Idiomas y monedas
  • Opciones de integración con terceros, sobre todo con portales como los mencionados anteriormente y con comparadores (Ciao…) o redes sociales

Las ventajas de estas tiendas es que los gastos están más controlados, son más profesionales y completas y puedes adaptarlas más a tu estilo. Además, el mantenimiento y actualización de la plataforma de la tienda lo tienes asegurado.

La desventaja, es que tienes que hacer un importante trabajo para atraer a clientes… pero como he dicho al principio, hablamos de abrir una tienda, no de vender.

Característica Arsys Tiendy Shopify Tol.do 2
Precio/mes 19 -70 €/mes 10 – 45 €/mes 14 – 179 $/mes 10 €/mes
Nº productos 200 – 20.000 50 – 5.000 25 – Ilimitados ¿?
Formas de pago Paypal, tarjeta de crédito… Paypal, tarjeta de crédito… Shopify Payment 3 Paypal
Logística Nacional e internacional integrado (MRW y SEUR incluido en ciertos planes) Paypal, tarjeta de crédito… UPS, FedEx
Integración con portales Amazon, eBay, Facebook, Ciao… Facebook Facebook
Versión móvil Sí (en ciertos planes) No No

2 Toldo es difícil de incluir en este tipo de comparativas. Su fortaleza está en su extrema (¿excesiva?) simplicidad. []

3 Lo que implica un pago en comisiones por transferencia.[]

Shopify

Tiendas instalables

Si lo que necesitas es flexibilidad, hay muchas tiendas open source con las que trabajar: Prestashop, Magento (comprada por eBay), osCommerce… Esto te permite hacer y deshacer a tu gusto, pero también supone que tienes que tener conocimiento para hacerlo.

Cualquiera de las mencionadas tiene una muy amplia comunidad respaldándola y opciones para contratar servicios profesionales de desarrollo de plantillas, plugins, etc.

Si eres desarrollador y tienes conocimientos de la plataforma de ecommerce, estas soluciones te darán una flexibilidad que no te va a dar ninguna otra alternativa.

Algunas de estas soluciones open source tienen una versión SaaS, como puede ser MagentoGo.

Plugins para WordPress, Joomla y otros CMS

No tienen porqué ser excluyentes, algunas de las tiendas mencionadas pueden integrarse en los CMS más conocidos pero existen algunas tiendas que solo existen como plugins, por ejemplo Woocommerce.

Sin duda, puede ser una buena alternativa como complemento de una página que ya tienes realizada, pero ojo con el soporte que te puedan proporcionar y el respaldo que puede haber detrás.

Podéis echar un ojo también al PDF “The Ecommerce
Opportunity: How Freelance Developers Can Build
Ecommerce Websites With WordPress

Del artículo 4 Recommended e-commerce WordPress tools también podéis sacar alguna idea.