 Hola a todos. Cuantos da trip tenéis actualizado a la última versión de Warp Press? Muy buen. De todo. De todo? Obre. Una de las... de las cosas clásicas que en cualquier chara da seguridad habéis escuchado, é que hay que actualizar Warp Press. Últimamente, dais a empezar, sobre todo, para, como decia antes Vidania, o tema de... de Warp Press, el tema del PHP. Nos estamos olvidando de que PHP, nas versiones 5, algo, ya arrascan bastante. Warp Press recomenda energicamente utilizar única e exclusivamente a versión 7.2. Vale? Voy usar la 7.0 e la 7.1, pero... es mejor la 7.2. Pensad que, a finales de este año, a la par que sale a Warp Press 5, sale 7.3. Es decir, estaremos hablando de que estaremos manteniendo casi 10 versiones en paralela de Warp Press que no tienen ningún sentido. Actualizar. Mantener vuestra infraestructura actualizada. Aparte de eso, es muy importante tener presente las cosas. Primero, se os veis a dedicar a hacer cosas en internet, tenis que saber algunas cositas de internet. Non es muy importante saber que non funciona la base. Eu sempre, esto pode sorprender, pero internet xii de funcionando en base a ficheros de texto. Toda, las DMS, esto, que os son ficheros de texto. Aunque nos lo creabis. Llegamos 50 años funcionando de la misma tecnologia de texto. El FTP es la mejor maravilla del universo que han hecho. Y git mil eches. Por que os digo esto? Porque, desde hace poco, tenemos el CSP. El Content Security Policy son unas pequenas cabeceras del LHTPP. Hay tabias, los Bery, un montón de cabeceras. Basicamente, esta cabecera, lo que nos va a decir, es nuestro sitio, o le vamos a decir al navegador del usuario qué elementos, qué URLs, a qué se pode acceder de fuera de nuestra web. Es decir, es la política de seguridad de contenidos. Cuantos de aquí, antes de instalar un plugin, os vais a cualquier otro sitio, destos gratis que te dan, o Pupilife e cosas destas, que le das a un click e instar as onwardes e probáis ese plugin antes de probarla en vuestra web. Para saber si realmente eso funciona. Unha mano. Dos, tres, venda. Vale. É muy importante que probéis los plugins antes. Obviamente, como antes tamen se comentaba, un Yoast, un Bukomes e tal, que os caos son grandes plugins, pero en normalmente, e eu por la experiencia que tengo de ver, un centenar de Word 3, a maior parte del agente plantillas de cinfores e campanía, plugins que hace 800 días que nos actualizan e ese tipo de cosas. Ahí tenemos grandes agores de seguridad. Tenen presente antes, comentarais, el tema de la activización de las webs. Con HTTPS, el tema está de los tempos de carga e tal. Todas estas herramientas no tenen en cuenta esto. Esto hace que o internet duele. Adartados a la última tecnología. Esto os lo pide ya como persona que lleva en muchos anos me dio en internet. Utiliza HTTPS, instalado e certificado do TLS. Todo. Tene a destaca a la última. No hace falta saber mucho de seguridad para estar a la última de seguridad. Tenete en cuenta que, máso menos, tres cuartas partes de los ataques que há a webs afectan ao ser o web. Este implica a preguntarse cosas tipo se tengo que estar a un hosting compartido o tener un hosting dedicado. Obviamente son precios diferentes. Se el hosting compartido tiene enjaulamiento de usuario para que vuestro usuario non afecte ao resto, es decir, que cada WordPress, aunque os HTTPS no afecte ao resto, se es el mismo enjaulamiento también existe a la seregratos, ese tipo de información tenéis que saberla e isto os sumo a los ataques XSS. E os adelanto, es la charla másténmica que os escucharei e seguramente algunos perderéis. Por favor preguntar. Es separando, por favor. E isto os meto así como me lleno, existen os ataques XSS. Non sei se alguno habréis escuchado de alguna charla, de alguna outra meta, o de alguna outra worka, o incluso unha noticia en un periódico que en algunas webs se estaban minando criptomoneda. Pues eso, es un ataques XSS. Basitamente es alguien instala un jabascrito, alguien instala algo enta de la web, esa web llama a outra web e se ejecutan determinadas cosas. Pues eso es la maior razón por que existe el CST. Tened presente, siempre pensamos que quando nos hackean unha web, en realidad os perjudicados somos nosotros os propietarios de esa web. E os es unha farsa gigantesca. Nosotros obviamente te toca las narices porque te hackean tienes que hacer los backups. Obviamente, tened backups, por favor, probáblos que si non sólo tendreis backups roddinger, tendreis alguna cosa que nos hagueis e funcionan o funciona. Basitamente os sistemas que controlan XSS, lo que permiten o quando te instalaran XSS lo que poden hacer es eso, minar crypto moneda, instalarte malware, hacerte unha regalera versatura, redirixera o usuario a outra página e tú no te enteras. Un ejemplo para que veais, un ejemplo real, esto es un plugin que estaba en el reposito de web 3. Un plugin destos del tiempo, de los típicos biches del tiempo, pues este plugin tenia coilhive, que es un fichero javascript que lo que permiten minar crypto moneda, en este caso monedo, pues que pasa? que todo el que tenia este plugin, pues que pasa? Normalmente lo que ocurre e en este caso y esto es o documento sobre las desarrolladores es que, cuando un plugin se deja un poco bon el tiempo, alguien compra un plugin que le casca crypto moneda, etc. entonces que pasa? pues que ya tienes una base de gente que tenia este plugin instalado. Que es o que hace o content security security policy? Primeiro, es un standard, e vou insistir bastante en esto porque seguramente todos estáis teniendo dos o tres cabeceras que luego os pondremos de cara al final e esas cabeceras ya están desfasadas. O sea, todas las cabeceras de seguridad que existían hasta ahora se vienen sustituidas por esta alguna o dos máis que van a aparecer en los próximos tiempos. Básicamente, esto es decirle ao navegador e ao servidor, sobretudo ao navegador e ao usuario, daria unha lista blanca de a qué o roles o que tipo de información o navegador puede ejecutar con respecto ao web. O código máis sencillo es content security policy, es la cabecera, dos puntos e en este caso es el default SRC que es cualquiera de los elementos todos e en este caso está o self e o HTTPS. Básicamente isto que significa solo se pueden cargar de cuando tú entras dentro de tu WordPress, entras dentro de la página, solo vas a poder cargar contenidos, CSS, garascripts, imagenes, lo que queráis que estén en self, es decir, solo pueden estar en mi propio délinio e tienes que estar obligatoriamente con HTTPS. Por exemplo, se tenéis unha imagen destas perdidas por AI, HTTPS que llama a vuestro propósito ese imagen non se mostraría. Directamente na petición ao servidor para descargar non se ejecutaria porque tú lo arresten por aquí. A nivel caso de datos sí, porque eso es interno. O sea, solo peticiones del navegador. Os he comentado que está lá del default obviamente pero podemos restringir más. Por ejemplo, tenemos o font. Cuántos de aquí no llamáis ao Google Fonts? O que pona unha directiva que es oye, Google Fonts, el domínio Google Fonts.com o Fonts.Google.com o no sé, o guay un ejemplo. En este caso podés llamar ao self, ao HTTPS e ao fonts.Google.com para que podés llamar a ese. Pero se intentas cargar cualquier fonte que no sea local o de Google que no la podés llenar. No se cargaria. Vale, lo mismo funcionaria de los frames con las imágenes con os multimodia en este caso videos audios e demas con os scripts con las hojas de estilo etc. Vale, hay una vista aquí en general na presentación de esta colada de nós en mi blog. Vale, esta sale la URL. Actúe en la esquina tenedas las URLs donde está toda la chicha. Perdón. Eso tiene que ver con os domínios. Por ejemplo, yo creo que el guard es diferente pero el mismo domínio es un obvia problema por el self. En principio só aplica a cabajos, no, es decir, cada subdomínio tendrá que tener su preplia directiva. Vale. Se quiero que se puedan llamar desde un botón na carretera para cambiar por favor tena un serifante cancillas. Puedo cobrar o no? Sí, podés poner, o sea, al final tú aquí os pongo este ejemplo e lo veis fácilmente, por ejemplo. Ficheros de fuente que estén en local. Sí, tener el micro por ali preparado para ver cuándo alguien pregunte. Vale. El self y luego aquí os pondríamos que cualquier URL que empiece por https fons.guelapis.com que se poda llamar. En el caso de, por ejemplo, as imágenes. Pues las imágenes podés llamar al self y podés llamar a nosedor.cloudfront.net que es pues un CDN. Vale. Qualquier imagen sobre todo estávamos bien para cuando empezáis a poner imágenes pues tener un pouco de control. Por ejemplo, el tema de los scripts sobre todo que utilizamos realmente que os llamas al jelquery.com e todo esto pues para evitar por ejemplo, en este caso más concreto el tema de la minoría de criptomoneda pues con esta le podés llorar. Vale. Porque tú le dices mira, el script se le podés llamar propios del cloud front o bueno, del CDN.js de jelquery Vale. Un poco de mega gen pero esto seria una línea real que se podria poner en cualquier guete o sea, esto es un pouco genérico. Vale. Pues por ejemplo, aqui teníamos el default al final lo deja de ser una línea en la que te permite hacer cosas. Si os fijáis todo o que estou hablando a nivel de contenidos es de llamadas afuera o de permitir al self pero que ocurre con el tema de el CSS inline o el Javascript inline. Claro, esos son contenidos es código es código que te poden invertar o es maricioso. Vale. Hay que ejecutar esta directiva por defecto considera que el CSS inline e o Javascript inline no es seguro. Este es el mayor problema para que WordPress no tenga esto de seria. Vale. Porque obviamente WordPress incluye unha granísima cantidad de código CSS e Javascript inline. Vale. Entonces, esto tenemos que evitarlo. Obviamente, como poderíamos hacer pues en este caso tenéis el script src shell es decir, se poden llarar Javascript que esten en nuestro propio domínio un safe inline e un safe inline. Vale. En este caso o que estamos diciendo es puedes ejecutar Javascript que esté es ejecutar la evaluación de eso. A típica función ideal que es la que normalmente da os pequenos agujeros de seguridad. Vale. Obviamente, poner esta línea lo que haces e tener esta línea e no tener nada básicamente lo mismo. Lo que hay que intentar es evitar tener este tipo de datos. Como podemos optimizar ligeramente o tema de los Javascript e este es creo que el siguiente paso hacía donde tiene que ir WordPress en cuanto a seguridad la parte de plantillas. Que es que tú le podías decir a la directiva escript src pues en este caso non cedio e o nombre que le hagáis posta a ti. Este trozo de Javascript sí que se podria ejecutar porque aquí eu estou diciendo que este alert javaer casario se podria ejecutar e en este caso te saltaria a ventanita con hola no sé que vale. É isto es una forma obviamente isto tamén es un pouco haquear porque tú podrias intentar ayudar haquear e decir un empieza a poner nombres e non sé que e meto a la directiva e sigue funcionando. Existem otras formas que es directamente encryptada con un hash vale. Entonces al final no deja de ser hacer o hash de esto porque en este caso sin haquear en esta línea de code del alert e a quina me tiran code esto se iria funcionando porque eu te estou diciendo ejecuta todo o que te da te dentro me da igual do que haya vale. En este caso no coge isto del code e haces a hash e se ao que haya cambiado un espacio automaticamente eso nos ejecutaria vale. Este te permite que o code que haya aí sea exactamente o code que se vai ejecutar. Con isto evitas clarísimamente cualquier tipo de ataque javascript o fonte da página. Un cliquito que isto a mim está salando la ida en bastantes sitios. Que os pasa? Mucha gente tiene miedo antes preguntaban el tema o ¿cuántos de aquí tenéis el HTTPS? Vale. ¿Cuántos de aquí? A pregunta reales. ¿Cuántos de aquí tenéis el HTTPS? Pero obligáis a que el HTTPS te inviertan HTTPS. Esa es la pregunta real porque podés tener dos sistemas en paralelo agora por exemplo pero claro al final da igual se tenés dos en paralelo no deja de ser que tenes como dos webs pura insegura e unha segura. Eso al final da teno un sentido. Con isto o que haces es qual es el maior problema de hacer eso de subir al HTTPS? Que quando sale lo del candadito te sale un alerta de hay elementos que se están cargando que no son seguros e que que he hecho? Wordpress por defecto en el código de las entradas de las páginas suele poner las URLs completas HTTPS dos puntos barra barra fulanito.com barra web.com no sé que te ponen a URL completa en doe de utilizar un search and replays cosa que no recomiendo que todo mundo recomende está completamente preguido utilizar eso ximo sai exactamente o que es lo que estáis haciendo. Se plago en ese demonio porque básicamente te pode reventar algo porque hay muchos datos que están serializados y se fastidian. Con esta línea o que hace o sistema automáticamente es cualquier código bueno, del mundo ya le dice cualquier request o que hace es hacer un break desde un código un seguro cualquier URL de una imagen de un JavaScript un CSS que empiece por HTTPS automáticamente le hace la llanada con HTTPS cogeis haces la redirección del sin HTTPS al HTTPS ponés esta línea de código ya está suele por esto y automáticamente ese mensajito de esta web es insegura porque tiene imágenes o cosas antigas e tal desaparece candaito verde tiranillas vale esto es magia absoluta Outro de las cosas interesantes es que como saremos se se está incumpriendo estas reglas podemos pôner nosotro e dizer non te acuerdas que hace 4 años hay una imagen non sé que sitio que en realidad non halla má está tu sitio que tenías outra web parecida e la llamaste de tu otra web con os Reapers basicamente des con o Reapers podeis pasarlo a un URL e basicamente cada vez que se incumprian estas reglas se genera este tipo de código de JSON vale hay herramientas por internet que se podeis registrar e tal le pones esa URL a ellos e te dan via dando o Reapers e te tienen unos paneles e tal os podis probar a vosotros que basicamente cada vez que lleve un repo recto os mando eso por mail tampoco hace falta que sea una historia e basicamente o que os dice es que cosas está incumpriendo para que por un lado para corregirlo por outro porque a lo mejor podis detectar que os anjale a la web porque a mi nos halla dictado código e está haciendo llamadas a un servidor exterro que nos da vuestro control como se pone esto en real vale os estoy hablando mucho de como poner en la linea e tal os e de es tan sencillo como estas dos cosas podis coger un hthx ponéis header set e todo o que os podis explicar o que os podis explicar o que os podis explicar o que os usais o enginx pues a header e todo o que os podis explicar vale o que os podis coger esos code tal que nos tan e funcione se podis hacer un planning sí se podis hacer un planning basicamente hay un acción dentro de WordPress que es o header que es o que te permite por exemplo poder coger un code 404 4010 una redirección e tal basicamente es o header header ponéis al te do el código e ya está vale esto se podis hacer un pequeño plugin o que querais hay plugins le os enseño más cosas esto es un poco más técnico vale que plugins hay pues tenéis os voy a dejar dos o tres tenéis este security failures vale va bien te permite cada uno estos plugins pinta las cosas a súa maneira son hay unos más técnicos hay unos menos que te dan más acciones de tres menos este está bien este es como mucho más técnico porque es como más manual e luego está este que es el que eu estou utilizando está bastante bien te da como 54 posibilidades e de esas cilíntipas de posibilidades o que eu se estou explicando es una de ellas vale para que veais un pouco que a nivel de seguridad hay muchas cosas para hacer como se pudo verificar que todo esto que os estoy explicando pues más o menos funciona e demas o tenéis herramientas para crear estas estas cabeceras vale es decir ostras que hago un pequeño análisis e que me genere o código para ver un pouco perdonada vale pues tenéis desde la primera desde la primera herramienta que es una herramienta própria de Widen security failures que esta es como la más herramienta o reper-dury esta es que normalmente se utiliza es como quizá la que está más controlada e demas vale y luego está el fio, el hitar pero bueno comence el resumo muy por la unidad de la presentación e empieza el resumo en final vale aquí tenéis documentación de Dende está toda a información de toda esta direc-tío e eu se estou fazendo un pouco o preview o teaser de lo que hai pero hai para cortar e aqui os dejo todas as direc-tías que hai todas as direc-tías a nivel de recuperación a nivel de página por ejemplo e os formularios como editar que un formulario llame a gatos de terceros o que vale para que no se puedan a gatos de terceros o se os pueda tal el tema de reporting toda a información que hai sobre a configuración del reporting para recibir os ataques vale e os el ejemplo má-s má-s má-s básico e os dejo este lo ponéis e deja de funcionar te dedo como os dejo antes vale pero tiene un detalle interesante e es que está o modo report only vale e os dejo e os dejo e os dejo e os dejo dinheiro vale e Sport Venga, venha a ponerlo. Vem, actualizas. Venga, outra de recargar. Vale, por exemplo, aqui, se os fijáis, eu já he añadido algo, que é, por exemplo, o frame que llame a asterisco.word3.org. Este que permite que, quando estais dentro de los plugins, se os puder abrir la ventana do preview en plugin. Ou, por exemplo, en las imágenes, está o asterisco.grabatar.com. Para que, pues, para que se podan ver os íconitos de los... vale? Es decir, este é muy sencillo, pero para que leais un pouco toda a la cantidad de elementos que hai, vale? Então, primeiro, está o reportón. Segudo, hacemos o que os decía antes. Cargamos todos os HTTP locales, nos subimos a HTTPS automáticamente. Después, marco, qual é o hostname base que vou utilizar? Vale? En este caso, pues, 3 overgones.grabades.log. En este caso, que pongo? El default. Cuando non he puesto alguna de las siguentes que os voy a aponer, pues, tenemos que, si non pongo ninguna de las reglas, se pode cargar o self, se pode cargar o data dos puntos, por exemplo, se tenéis íconos ou imágenes o álbum no momento en línea, que se pode cargar o unsafelyline, porque, si non, o emperno va, e o unsafelyline para que os javascript daia. Vale? Sobre todo, o unsafelyline es para que daia o CSS o unsafelyline para que daia o javascript. Las conexións, o que le decimos é, oio, podeis cargar de ti, porque, si non, funciona daia o Ajax, es decir, o admin Ajax. Vale? Todo eso dejaria de funcionar, se non le dices que o eso pueda generar conexións. Vale? Porque claro, no é que carga la página. Eso está por debajo, haciendo conexións todo o rato. Las fuentes, en este caso, como o Log, no tenia ninguna cosa, lo veréis que lo ida cambiando, os formodarios que se poden llamar asinismos, os ancestros de los frames. Vale? Imaginaos que tenéis una página con muchos frames e demas, pues, quén pode llamar o que frames poden llamar. Se állon pueden crustar, el subweb, vuestra web. Con ésto lo podéis bloquear, para que állon nos poda llamar. GitHub, por exemplo, lo hace. O caso del frame, que os comentaba antes, el image, también, se os fijáis, con o data, o manifest, é que sobre todo, en el caso de que trabajéis con apps de móvil e cosas así, o media, el de objetos, en este caso, por exemplo, el objetos le tengo puesto non, porque yo no uso flash, ni uso cosas destas extrañas que hace anos que non uso. Vale? E que no lo veréis usar. Los scripts, pues, o que os decía antes, o mesmo, que se poda ejecutar, os estilos, o mismo, e os workers. Vale? Que esto é unha cosa que, dentro de pouco, empezaremos a ver má, sobre todo, en el HPP2. Vale? Este é o código que, hoy en día, tenho puesto. Vale? Como veis, é un poco, ya empieza a ver cosas muy diferentes. Vale? Por exemplo, tenéis por aquí las imágenes para que os va a dar Twitter, tenéis por aquí, pues, mira, o Word en el report donde se tendría que llamar, que se poden amar Twitter, que se poden llamar workers, para, no sé, bueno, aquí veis un pouco, isto é o más parecido a la realidad. Por exemplo, eu te utilizo o plugin de contenidos, el... como se llama? El calendar, el melio content, no sé o que, vale? Pues claro, o que pasa? Porque claro, o plugin me dejo de ir, porque como o plugin hace llamadas a melio para que funcione mental, pues claro, tengo que activar-lo, o sinó, claro, no va, no va, no va, claro, no va, porque me dejo de que haga. Vale? Estos son os mensajes de rol que me daría. Vale? Basicamente, por exemplo, o primeiro te dice... no, pero a segunda línea te dice, esta página está intentando cargar para que os deis cuenta, fijaos que para cargar las fuentes de Google hace falta también que os CSS funcione. Fiz, no solo cargando el font funcione las fuentes, tenéis que aplicar-los dos. Vale? Então bueno, aquí te pondría ejemplos, pues por ejemplos de Twitter, porque también tiene que cargar estilos, curiosamente os formularios también necesitan, o sé, hay cosas muy extrañas, te dices, bueno, como yo sé que voy a poner Twitter, voy a hacerle caso a todo esto. Bonus, cosas más que se poden hacer? Teno. Teno. Espera, para el micro. Sí, yo, por exemplo, uso a veces, por necesidad, pero algunas damos a saber que isso non es perigoso, no, a vida, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, O que se hace, se coges o fichero, se me descargáis e hacéis, en este caso, un hash de xa3, 8, 4. Eso os dá esta linea de código, e o que te permite, con o cross-origin anonymous, é que quando eu me descargo, quando o navegador se descarga a esteja da script, revisa que o código coincido con este hash. E, entedes, verifico que no ha sido manipulado ese hash script entre medias. De esa forma, entaís que, se hacéis llamadas externas, os puedan atacar. Aquí os dejo, se queréis a fele vosotros, en este caso, se queréis ir provebores, tenéis srhash.org para generarlo. E aqui tenéis un plugin de Wordpress para gestionar isto que os agradez de explicar. É un pequeno detalhito que dá un pouco da linea de seguridad que os digo. Os dederes, que son bastantes. Estos dederes, esta vez, dejo dederes para dias. Normalmente os dejo dederes para unha tarde, pero credo que son para dias. Vale, primero, documentaros, leer. Hay muchísima información, es algo nuevo, pero hay mucha información. Tenéis información en el web de 3C, tenéis información en la propia web de webmasters de Google. Para mi, está la mejor información de temas de webs y demás, que se en el mdn de Mozilla, o directamente, el fsp, la referencia rápida. Y luego tenéis un generador, os generadores, tanto el fsp para poder crear esta, esta linea super extraña, e o generador se estará enseñando antes. E então, como os decía antes, seguramente vosotros utilizáis estas cabeceras. Estas son las cabeceras habituales que se están utilizando. Estas cabeceras ya no sigo para nada, vale? Non digo que sean muy inseguras, vale? Pero ya no son tan seguras como le dirían. El fsp sustituye estas 3 llamadas. Basicamente estas, o que te decían era, a qrl se podían movar frames, protección del xsd, que no se como lo hacían, sin todo o que teníamos agora, e o noxnif que era para que no se pudiera tan, o final da igual, se te las quieres saltar, te las saltas. Vale, pues todas estas cabeceras, hay que eliminarlas e hay que sustituirlas por el csp. E acabo, ya está, ya es la última diapo. Varios detalles. Fijaos en el tema del https. Fijaos sobretudo en las tres primeras webs. Por defecto, e o esto e o esto. 3.0.0 no me ha hecho regirecciones ni nada. E non forzado, vale? En el caso de las workhams, si que hace la regirección, en el caso de la facon también. Vale? Que ocurre si no tenéis el csp? Pues agora lo vais a ver. Ahora tengo a hacer unas cosas. Sí. A ver, non me están las cosas. Vamos a probarlo en la web de Amazon e voy a cargar por aquí esta línea de código. Vale, entonces, vamos a hacer un experimento, vives? Cómo te estamos, se existen, se se pueden hacer llamadas afuera o no? Vale? Temos la consola, en este caso, voy a hacer varias cosas para que se diga que es pantalla completa. Aquí veis que tengo la consola, vale? Ya, bueno, e mensajes e tal. Tengo que dar esta línea, este cacho de código. Vale? Que es un posible ataque en jarascript e veis a ver que pasa. Ou te veo ver de pasar. Espera, que puesto. Se ha puesto aquí. Uy, nada más. Hasta aquí todo. Aquí te veis publicada la presentación de esta lanza del pos. O sea, que se querísse descargar, esla explico varias cosas, un pouco de ejemplitos. Esta senana, se me da tiempo, sacaré o martes viernes o tropos que va moi relacionado. É moi parecido a esto, ao tema do CSP, pero con funcionalidades dos dispositivos donde se ejecutan. Por ejemplo, isto va moi relacionado ao tema de les móviles, que és, se queréis, por ejemplo, dejarle a vuestra web que acceda a cuanta batería tiene o vuestro dispositivo, se queréis que vuestra web puede acceder noa a la cámara de vuestro dispositivo, vale? Entonces, poder acceder o, o limitar el acceso a las diferentes partes. Eso ta directiva, obviamente, non me da tiempo a hacerle todo, pero bueno, que sepáis que moi publicando cositas destas guais, o será que, si os interesa. Preguntas? Ui, que un que miedo. Que polo que siente. Sente, ja ja. A ver, a más unha de 80, no, tu te cumenta unha de TPS, por exemplo, o que haces el plugin de XI-LAM coa unha de XI-LAM coa unha de TPS, no? Tienes o tema de poner a TPS e el es de unha opción. Hay varias formas. Hay algo... Sí, esta es una forma, esta es una forma 0 por ACP-TP, por cabecera. Hay otros plugins, porque, en algún caso, esto no funciona porque la URL está picada en la plantilla o que estás a ver qué. Entende, sí que he visto plugins que lo que hacen es, utilizan ya más funciones de WordPress, vale, que lo que hacen es, justo antes de pintar todo el código por pantalla, lo que hacen es analizar el código en búsqueda de HTTP para intentar sustituirlo. No es la mejor opción, pero es otra opción. Vale, yo casi prefiero intentar cambiar las URLs, que no, esto es como a forma más fácil. Sino va esto y hay que trabajárselo, es o mejor trabajárselo. Por si suena, gracias. Más preguntas. Alguém tiene que prever eso, ve? Se pode ver, hoy, fija, he puesto esta de Amazon porque es, mira ahí, he puesto esta de Amazon porque es la que más visual, pero sí, tenéis la de televisión español, la de Moncloa, tal, la de Moncloas la de televisión española, sí, pero satura, como te entendo, ha escrito, satura, analizador e serrente. Pero bueno, esta está bien. Bueno, muchas gracias por esta magnífica charla, excelente. Eu tenho uma web que tiene scripts de publicidad, que cargan as web imagines de tercer com server e tal. E de vez em quando, pues, me sale o aviso de contenido mixto, porque o server está cargando, e ellos lo hagan, porque eu não pudo ponerla a ese, porque não aparece. Nos traemos de um vídeo. Con esta línia, sí que poderíamos hacerlo. Esta línia só le afecta a tu propio sitio, não afecta os sitios de terceros. En este caso, os traemos en las mismas. Tenendo presente, hay otra cosa, e isto, non sé, se os sabréis o non, pero en realidad, se queréis ser protocolo agnóstico, vale, e queréis, os da igual trabajar con HTTPS en este caso, desde o servidor, a cegar a redirección, vale, então, como já tenéis esa redirección, se empecéis qualquer URL por barra barra, automaticamente se coge o HTTP o HTTPS en base a la URL que ya tengas actualmente. Então, normalmente, en temas de publicidad e demás, las empresas buenas suelen poner barra barra para evitar esto. Então, se tú cargas la imagen desde una web insegura, se carga el HTTP, se tú cargas la web desde una que tiene HTTPS automáticamente se cargaría la imagen desde tal, vale, o que, hoy en día, es o que hablamos antes, es que, es absurdo no tener el HTTPS, vale, o que, aparte, os digo máis, es que es obligatorio, en Europa es obligatorio porque la RGB te obliga a hacerlo, vale, este de aquí, dentro de pouco, será máis o menos obligatorio por parte de la, de la RGB, vale, o sea, al final, hay muchos de estos elementos que te obligan a hacer el upgrade, vale, entonces, ve eso tenerla presente. Mira, hay una pregunta, quánto tempo queda? Cinco minutos? Entonces, tenemos pa hacernos preguntas. Hola, buenos. Una pregunta, nos que teremos quecones e trabajamos con Redsys, en novas grandes problemas a la hora de la respuesta, entonces, eu estuve andando con José Contín, me volto un pouco, obviamente, pero esto afecta algo que va ser na mesma empastada? A ver, es que o tema de Redsys paga la comida aparte, es como os certificados de seguridad de la Administración Española, es como, eso va aparte, vale, el problema de eso es que no se siga un estándar, vale, e como dicen, que les encrim, no es compatible, no sé que, de un tubo, esto es intuición personal, o 2 semanas e media 3 se aprobou el TLS 1.3, vale, también, outra cosa, inciso, non son certificados SSL, eso ya non existe, hace 10 años que non existen, son certificados TLS, o TLS, o TLS, vale, e ao que utilizamos da versión 1.2, qualquiera outra cosa que no sea, eso non funciona, se acaba aprobado el 1.3, que va a utilizar muchísimo el tema de, de segurión, ese sentido, e un tubo que, cuando lleve o 1.3, eso se arreglará, pero como sempre, como es una red española, pues iremos con el sistema español, de ancho, de via... ancho e este tipo de cosas, vale, para llegar a la contraria, pues no lo sé, con esto puedes hacer una cosa que es la carpeta donde se acaba recibiendo o pin, o post, le puedes bloquear todo esto, es decir, aí le podrás meter un HPA acces a esa carpeta e decirle, no, en esta carpeta las reglas son estas, porque sinon no chuta, vale, le podrás quitar, le puedes hacer un CSP concretamente a esa carpeta, entonces, cuando llega a las peticiones de fiera, el CSP non funciona, lo desactivas e ya está, o dices que es el SELF, no sé, le das cuatro datos e ya está, había que hacer pruebas, no lo sé, no tengo claro en este caso, entre estas en el número 2, e se comentaré, no, no le había pensado. Toma, más cosas de seguridad en general, que esto es un programa concreto, ya sé que esto es una ida de joia mía de estas de, que vengas a dar a work-ups, pero os abro los ojos, luego esto os entretiene, os dejo entretendo nos durante meses, pues ahora, esta, lá hay gente que está empezando a aplicar las cosas que empecé a aplicar en la work-up de Zaragoza, que me lo van diciendo, e lo que dísis, en Zaragoza, me empeza a aplicar este verano, perfecto. A la buena, no interéspeto, lo que decías, de código en línea, que se pudo aplicar para editar esa decisión, por exemplo, se utilizamos, pues, para MNL, alguna así, hay alguna forma de, ninguna. Por eso digo que, para mí, esto, es un elemento que poco a poco todas las desarrolladas de plugins tendo que solventar. Primero, porque o código en línea no debería de estar, no, eso ya de base, vale? Pero obviamente, somos humanos e, como nos da la posibilidad, pues, que vamos a hacer. A honesta solución es eso, es intentar ver como automatizar eso. Vale? Pues, se pudo hacer plugins que te lo daban, sí, pero, se le hace un plugin externo que retoca, al final, estás metiendo un man in the middle que no toca. Entonces, el propio, el propio plugin, o sea, los yoos, tu campaña, en el momento en el que van a generar ese código, tendrán que añadir esa pequena línea de chatal, ostia, se lo debería pintar. Lo pinto, me meto el hash e ya está. Entonces claro, pero que le tiene que hacer el plugin original e me darei a decir e no pueda haber hooks ni nada que pueda tocar eso, porque, se nos estará nos en las mismas. Viene alguien desde fuera que, como te dejas la posibilidad, venen, nada más? Venga. E a mi pós de navegador haya un requerimiento que já, a partir de un certo navegador, no hace e por debajo do no hace. En principio, a ver, te diría que o da igual porque se tú le mandas esta navegadora e el navegador no lo soporta, se la sopla. A mío x el mínimo o que no, o que no, o que no, o que no, o que no, o que no, o que no, se buscais o nix, normalmente en cualquier página, e de cualquier cosa de la red de nofyla, abajo suelha a ver Brosa Compatibility e entonces te salen los de Kate Thore, los de Mobile e outras cosas e entonces te salen Firefox, Chrome, Explorer e... Soy un grosero modo qual seria a partir de oto qual sería. E volleyball E x non relativamente en nuevo, pero en general todos los navegadores que se dan rushing te lo soporta. Explore, Non o soporta, que o ICH? Tengo ida, agora, a versión de Xplorer os soporta esto? Nenunha versión de Xplorer os soporta esto? No, Xperia, que é xplorer... E se o ICH? E se o ICH? E se o ICH? O Xplorer e o ICH acabo, no? O sea, está o ICH que é xias 9 e 10. E que creo que o ICH no le da soporte? Eu creo que, a ver por a cantidad de gente que o usas, ao final, non se me allemos. Estamos hablando de que noventa, xenta e noventa vercenta de agente usa Firefox e Chrome e, como está o Auto-Data, en general, a gente va bastante a las últimas versiones. Eu creo que está hace tiempo e, si non, cana.us.com le pones o Ibarra CSP do Brasil e te lo virá. Vale, graças. Los de Módil sí que le da un pouco má por salo, no? No, acabo tan pouco mo' entendere porque... Claro? Pues, ya está. Mucho gracias. Nao.