Eolas, mais uma vez

January 30th, 2004 § Comments Off on Eolas, mais uma vez § permalink

E não é que a Microsoft decidiu não implementar as mudanças que ela estava considerando em relação ao caso Eolas? Como o Galvez anunciou hoje, o caso está rendendo na justiça americana e a Microsoft decidiu pagar para ver. Considerando que o departamento que cuida das patentes nos Estados Unidos também revisará a patente detida pela Eolas por causa de questões levantadas sobre a mesma, é possível que a coisa toda se resolva sem maiores problemas.

Lá e de volta outra vez

January 30th, 2004 § Comments Off on Lá e de volta outra vez § permalink

Se você está vendo esta entrada, você está vendo este blog em seu novo servidor. Até onde eu sei, está tudo aqui. Se você tiver qualquer problema, por favor me avise. Acho que não perdi nada, mas já me enganei em outras ocasiões.

De qualquer forma, esta máquina parece melhor do que a outra. Espero não ter mais nenhum problema com o provedor — pelo menos não até alugar um servidor dedicado como eu e alguns amigos estamos planejando fa

Agradeça ao provedor…

January 30th, 2004 § Comments Off on Agradeça ao provedor… § permalink

Meu provedor acaba de me informar que haverá uma mudança no servidor que hospeda meu site (e mais 11 outros de amigos). Motivo: nenhum em particular, exceto que eles querem mudar o servidor. Como resultado, o site pode ficar indisponível por algum tempo nos próximos dias (e provavelmente vai, considerando o nível de serviço atual). E-mail e outros serviços também podem sofrer interrupções.

Aos meus (poucos) fiéis leitores: estou tentando resolver a situação caótica que impera no serviço aqui há algum tempo. Obrigado pela paciência. 😀 Eu esperava ter já conseguido mudar de provedor, mas o medo de ter problemas novamente está me impedindo de aceitar qualquer proposta.

No bom espírito cristão, preciso mandar um e-mail ao meu provedor agradecendo por todas as complicações que eu tenho passado. Isso tem me ajudado muito a aprender como ser paciente com os outros também.

Pós-gradução em Ficção Científica

January 28th, 2004 § 9 comments § permalink

Essa dá até para chorar: a Universidade de Liverpool, na Inglaterra, está oferencendo um curso de Pós-graduação em Ficção Científica, com a duração de um ano, estudando principalmente a literatura de língua inglesa do gênero, com algumas adições européias.

Agora, imagine estudar um ano o seu gênero preferido e ainda ter acesso ao arquivos da Science Fiction Foundation, um dos mais ricos do mundo! É de matar do coração qualquer fã que também se interesse pelo assunto do ponto de vista acadêmico.

E eu não posso deixar de pensar que eu vivo no Brasil, onde até comprar livros desse tipo é difícil, onde o mercado nacional é praticamente inexistente, e onde nenhuma universidade jamais pensaria em um curso assim.

A Lei de Murphy não tem exceções

January 26th, 2004 § 9 comments § permalink

Minha esposa estava preparando o café da manhã quando, logo depois de passar patê na mesma, uma fatia de pão decidiu cair no piso da cozinha. Surpreendentemente, a fatia caiu com o patê para cima, aparentando ter contrariado a Lei de Murphy. Minha esposa, espantada, pegou a fatia para jogar do lixo e comentou em voz alta: “Engraçado, a Lei de Murphy falhou dessa vez”. Foi só ela falar e a fatia escorregou da mão dela caindo com o patê no chão. Algumas vezes eu penso que a Lei de Murphy é a propriedade mais fundamental do Universo.

Eu sou um spammer?

January 22nd, 2004 § 4 comments § permalink

Essa é da série “coisas que só o seu provedor faz para você”.

De uns tempos para cá, começaram a chegar uns e-mail de retorno estranhos na minha caixa de entrada como se fossem erros na entrega de mensagens enviadas por mim. A princípio, pensei que fosse um retorno da velha técnica de similar erros de entrega para distribuir spam ou vírus. O estranho é que elas não tinha nenhum payload associado e também pareciam bem diferentes das mensagens de retorno eventuais que eu recebo. Por um tempo, ignorei como se fossem apenas isso.

O problema começou a se definir melhor quando eu comecei a receber retornos reais que listavam o meu site como origem de spam. Como eu nunca entrei em nenhum esquema similar, fiquei sem entender. Até que, analisando os logs do site esses dias, descobri que existe um caminho mapeado globalmente em todos os domínios hospedados pelo meu provedor atual que fornece alguns scripts comuns que podem ser usados por todos os sites para implementar coisas como formulários de contato, contadores e similares. O problema é: um desses scripts, o que implementa o envio de formulários genéricos, não possui proteção nenhuma, podendo ser usado por qualquer pessoa, mesmo sendo chamado de fora do site.

Resultado, o programa vem sendo usado consistentemente para enviar spam, que obviamente aparece como se viesse do meu site e eu acabei parando em listas de spam em vários locais, resultado, inclusive, em bloqueios temporários ou permanentes do meu site em alguma redes.

Desnecessário dizer, estou procurando um provedor novo, pela quarta vez desde de que comecei o site. O pior é que eu hospedo mais 11 domínios que provavelmente estão nas mesmas listas, algumas das quais não tem mecanismos para remoção.

E eu até imagino o que o Cris Dias tem a dizer sobre o assunto. :-)

Segurança e usabilidade

January 21st, 2004 § 2 comments § permalink

Um dos sistemas que eu uso regularmente possui um mecanismo para prevenir ataques de força bruta na interface de autenticação. O sistema permite três tentativas de entreda e caso as três falhem bloqueia a entrada do login tentado por um determinado período de tempo — que é razoavelmente longo, por sinal. Uma vez que o período de tempo tenha expirado é possível fazer mais três tentativas. Caso haja uma nova falha na autenticação, o sistema é bloqueado novamente e o período de bloqueio aumenta. Novas tentativas causam um efeito cumulativo, com o período de bloqueio sempre aumentando.

Esse é um esquema interessante que possui algumas vantagens óbvias para a segurança. Embora eu nunca tenha tentado, eu imagino que após um certo número de tentativas o login usado é bloqueado definitivamente, e uma ação administrativa é requerida para habilitá-lo novamente.

Esses dias porém, ao errar na autenticação três vezes seguidas, descobri que esse esquema tem um pequeno ponto fraco. Sem querer, eu havia digitado o meu nome de usuário errado embora a senha estivesse correta. Quando a quarta tentativa falhou, depois que eu já tinha esperado o período de bloqueio passar, é que percebi o erro e consegui entrar.

O ponto interessante aqui é que os nomes de usuários que qualquer sistema permite são limitados e o meu erro na verdade bloqueou o acesso de outra pessoa. Embora não seja o caso desse sistema, em uma outra aplicação com um padrão de uso muito maior por parte dos seus usuários, esse tipo de coisa pode acarretar inconveniências e até problemas reais para seus usuários. Imagine isso acontecendo em um sistema de home-banking, impedindo que um usuário entre por causa do erro de outro. Embora a chance seja mínima, o risco de prejuízos é grande caso alguma coisa aconteça.

Moral da história: um sistema deve conter o máximo de medidas de segurança passíveis de implementação no mesmo sem entretanto comprometer a sua própria usabilidade.

Havia um buraco na parede

January 20th, 2004 § 4 comments § permalink

Um dia desses atrás eu estava fazendo um favor de programação para um amiga minha que tem uma pequena empresa de marketing e acabei tropeçando numa dessas coisas que mostram como o Windows é muito mais perigoso em termos de segurança que o Linux ou outro sistema operacional decente quando instalado com suas opções padrões.

O favor em questão era a programação de alguns formulários em um site hospedado em um provedor cujo nome não darei, mas que é um dos maiores do Brasil em termos de clientela e infra-estrutura. Em um dado momento, um formulário enviaria um arquivo para o servidor que seria então mandado para um endereço de e-mail específico. Muito simples. Usa-se um componente para receber o arquivo e outro para enviar o e-mail.

O problema é que eu não tinha informações sobre onde colocar o arquivo — era meia-noite e, sem possibilidades de chamar o suporte, decidi descobrir sozinho. Como eu também não sabia de onde o arquivo rodava, optei pela solução mais rápida: causei um erro. Dito e feito, como a maioria das linguagens de programação faz, o ASP mostrou o caminho do arquivo. Até aí, tudo bem. Tentei gravar o arquivo no diretório. Funcionou. Então, tentei outra coisa que, sinceramente, achei que ia falhar: gravar no diretório C:\Temp da máquina em questão. Para meu espanto, funcionou perfeitamente.

Tudo bem, acessar o C:\Temp não é muita coisa, apesar de ser possível tentar alguma coisa mais maliciosa a partir daí. Curioso, decidi tentar acessar o notório C:\WINNT. Por incrível que pareça, esse diretório tem permissões de leitura e escrita para qualquer aplicação ASP rodando no dito servidor. Se isso não é um baita furo de segurança, então não sei o que um furo de segurança é.

Resumo da história: a dita máquina, que é parte de um cluster, pode ser comprometida com o mero uso de uma senha de FTP. Mesmo que o usuário não seja mal intencionado, um descuido de um programador pode torná-la inoperante. Incompetência é dose…

Sumiço

January 15th, 2004 § 2 comments § permalink

Dei uma sumida recente aqui, mas estou voltando. O problema foi um daqueles projetos em que a data de entrega se aproxima mais rápido do que queremos e as horas extras e fins de semana de trabalho começam a se acumular. Combine isso com outros projetos externos e o tempo para o blog acaba desaparecendo. Resumirei a programação normal em breve. :-)

2004

January 1st, 2004 § 6 comments § permalink

O ano passado foi um bom ano para mim. Embora o começo tenha sido meio difícil, com a complicada situação econômica do Brasil, o resto foi bem legal. Muitas mudanças, muitos desafios que se estendem agora para 2004. Que esse novo ano que se inicia hoje seja um excelente ano para todos nós.

Where am I?

You are currently viewing the archives for January, 2004 at Superfície Reflexiva.