Uppfært:
Það tók ekki nema 4 klst fyrir Tix.is að bregðast við þessu og laga þetta. Núna er alveg sama hvaðan gesturinn kemur eða hvort hann smelli á HTTP tengill, gesturinn endar alltaf á HTTPS. #HTTPSvæðing
Fyrirtækið á hrós skilið fyrir skjót og góð viðbrögð ( eldri mynd hér )
——— Upphaflega færslan er hér að neðan ———
Fyrir skemmstu fjölluðum við hér á Lappara um HTTPS og mikilvægi þess til að stuðla að öruggari samskiptum yfir internetið. Við tókum einnig fyrir og bentum á fyrirtæki og stofnanir eins og t.d. Persónuvernd sem voru ekki að standa sig vel, að okkar mati. Þó að mörg þessara fyrirtækja hafi ekki enn fært sig yfir í HTTPS þegar þetta er skrifað þá hafa fjölmörg fyrirtæki gert það og fögnum við því, enda var það eini tilgangur okkar með þessum ábendingum.
Eftir þessa yfirferð okkar þá hafa lesendur verið duglegir við að senda okkur ábendingar og höfum við reynt eftir fremsta megni að koma þeim til skila með tölvupósti, Facebook eða Twitter skilaboðum. Nýjasta ábendingin sem okkur barst, fannst okkur þess eðlis að við vildum fjalla um það hér til að ítreka mikilvægi þessa og vonandi ýta betur við þessum fyrirtækjum.
Ábendingin var um Tix.is sem er miðasala á internetinu. Eðli málsins samkvæmt þá er þetta fyrirtæki að höndla með persónuupplýsingar notenda sinna ásamt kreditkortaupplýsingum. Það er því mikilvægt að fyrirtækið geri allt í sínu valdi til þess að verja samskipti okkar sem notendur við þá. Samkvæmt tix.is þá hafa starfsmenn Tix “samanlagt yfir 20 ára reynslu í miðasölu og þróun miðasölukerfa. Þeir hafa starfað fyrir miðasölufyrirtæki á Íslandi, Danmörku, Svíþjóð, Noregi og Rúmeníu.”…. við ættum því að vera í góðum málum myndi ég halda?
Verja samskipti milli notenda og Tix að vissu leyti…. en samt ekki
Ef gestur kemur inn á vefinn með því að slá inn tix.is þá lendir hann á HTTP útgáfu á vefnum (ekki örugg). HTTP útgáfa af vefsíðu kemur vitanlega með öryggismeldingu í öllum helstu vöfrum. Það eitt og sér ætti að duga fyrirtækjum af þessari tegund til að færa allt í HTTPS, það hefur allt með öryggistilfinningu notenda að gera. Það er reyndar ekki svo óalgengt að lendingarsíða sé HTTP og að síðan séu gestir fluttir yfir á HTTPS þegar dýpra er haldið.
Samkvæmt ábendingunni þá gerist það ekki og því ákvað ég að kafa aðeins dýpra. Ég valdi viðburð, fjölda miða sem ég vildi og hélt síðan áfram með því að smella á “Finna miða” og síðan halda áfram eftir það…. mér til mikillar furðu þá var ég ekki sendur áfram á HTTPS heldur gat ég og þurfti að slá inn upplýsingar yfir HTTP.
( eins og fyrr segir þá hefur Tix lagað þetta eins og sjá má hér.)
Eins og sjá má hér að ofan, þá þarf notandinn að slá inn allar þessar upplýsingar, þar með talið kortaupplýsingar yfir HTTP sem er hið minnsta vítavert gáleysi hjá Tix. Versta við þetta er að fyrirtæki er með HTTPS uppsett og með því að fara bæta við https:// -> fyrir framan www.tix.is þá eru öll samskipti yfir HTTPS… en eins og við höfum áður sagt, fyrirtæki geta allt eins sleppt því að vera með HTTPS uppsett ef þeir beina gestum sínum ekki sjálfkrafa þangað. Við gerum ekki gesti úti í bæ ábyrga fyrir öryggi samskipta við okkar kerfi, bara aldrei.
Við rákum okkur einmitt oft á þetta þegar HTTPS umræðan hófst hér á Lappara og þess vegna vil ég ítreka. Það er ekki nóg að vera með HTTPS virkt á vefnum þínum án þess að flytja gesti sjálfkrafa þangað. Þetta er einfalt að gera og sem dæmi þá má sjá hvernig við hér á Lappara færum gesti sjálfkrafa yfir á HTTPS. Þetta er hægt og tiltölulega einfalt að gera á öllum tegundum vefþjóna.
