Una de las novedades más comentada es que empieza a marcar de forma explícita en la barra de direcciones cuando una web no se sirve bajo https:
Hasta ahora sólo se mostraba una advertencia, pero no de forma explícita. Si la página carga bajo https pero intenta referenciar recursos que no están bajo https, muestra un icono en la barra de estado que permite cargarlos.
Si optamos por cargar los "scripts no seguros", nos lo advierte claramente:
Algunas reflexiones tras muchas jornadas inventariando plantillas, ficheros de configuración, código...
- Es una buena idea que las páginas se sirvan bajo https, así como los recursos que éstas emplean (css, js, imágenes,...)
No vamos a repetir aquí todo el argumentario de seguridad, está claro que el hecho de que la conexión esté cifrada la hace más segura. - Menos mal que tenemos Let's Encrypt, si no, no hubiese sido posible para muchos sitios pequeños o medianos poder servir su web bajo https.
- Hay un aspecto muy preocupante: la falsa sensación de seguridad que podemos crear, y que nos podemos llegar a creer.
Servir nuestra web bajo https no la hace segura, esto es una obviedad. Si nuestras web son vulnerables (SQLi, XSS,...), lo seguirán siendo las sirvamos bajo http o https.
Es nuestra obligación como técnicos recordárselo a las gerencias: tener el candadito verde no garantiza nada, es una protección más, simplemente. - También es algo preocupante el hecho de que Google y su calendario de productos marque el calendario de los proyectos IT, cada vez más.
Debería hacernos reflexionar el hecho de que no se acometen las mejoras en general hasta que no viene uno de los grandes a apretarnos las clavijas. Pasó con la eliminación de Flash (lo que Apple no consiguió con su esnobismo lo consiguió Google recurriendo a motivos más terrenales: "anunciantes, ya no admitimos anuncios en flash"), ahora ha pasado con la implantación de https por defecto en las webs.
Hay cosas que desde IT sabemos que deben hacerse y por calendarios de lanzamiento de producto, prioridades de la compañía, etc, se van posponiendo hasta que nos tiene que venir el hermano mayor (Google, Facebook, Microsoft, Apple,...) a decirnos "o implementáis esto o ...". - Cabrea un poco el encontrarse con tanto gurú y listillo que se creen que por saber migrar un blog en Wordpress o una web en Drupal tienen la suficiente autoridad como para pontificar y criticar a los que les está costando hacer esta migración.
Si se tiene un site que tenga una infraestructura que implique varias zonas (una red interna, una red externa,...), servicios y servidores que interactúan entre sí, capas de caché, tareas programadas, varios CMS diferentes, componentes "legacy",.. el trabajo es bastante arduo, nada trivial.