FISL10: MySQL com segurança

A última palestra que participei hoje (25/06), foi sobre o desenvolvimento de aplicações mais seguras com MySQL. Foi na sala 41B… Fiquei um pouco incrédulo quando as atendentes disseram que não teria tradução simultânea (“ele vai falar em espanhol, provavelmente”, disseram elas)… Na programação estava tudo em inglês. Tudo bem, encarei assim mesmo.

Realmente foi tudo em inglês, mas no final, a surpresa: o palestrante falava bem o português, mas disse que apresentou em inglês, porque a palestra foi submetida em inglês… Hehehe Fazer, o que né? 

Meu inglês é péssimo, mas deu para “garimpar” algumas coisas da palestra:

- Tente deixar toda sua aplicação dentro do firewall;

- Use e abuse de stored procedures e views (realmente ele sugeriu abusar muito disso, mas eu creio ser muito complicado programar da forma proposta);

- Isole os dados do usuário da aplicação;

- A credencial do administrador do banco de dados deve ser diferente da credencial do usuário da aplicação. Aliás, o usuário da aplicação deve ter direitos mínimos. Em uma aplicação web, por exemplo, o usuário da aplicação pode ter direito de acessar os dados apenas na máquina local;

- Cuidado com os direitos dos arquivos: exemplo, um arquivo em php que acessa a base de dados, nunca deve ter direito de escrita para os usuários web. Ele sugeriu que o dono do arquivo tenha apenas acesso de escrita (sem acesso de execução) e os outros usuários (no caso, usuário web) tenha apenas acesso de leitura e execução;

- Procurar não transmitir dados no formato texto-puro. Tentar encriptar tudo (quero ver convencer os desenvolvedores a não usar mais o ftp, mas vou tentar, hehehe);

- Não grave senhas em formato texto-puro no filesystem (isso eu achei muito paranôico e muito difícil de implementar isso em uma aplicação web – descriptografar em tempo de boot e armazenar em uma variável, algo assim);

- Ter auditória do sistema (logs de acessos, etc);

- Ter certeza que você pode recuperar seus dados em caso de falha: backup, replicação, etc; ser capaz de refazer todos os passos, se necessário;

FISL10: Dataprev

Uma palestra que eu não tinha muita expectativa era sobre o uso de software livre na Dataprev, de Rodrigo Ortiz Assumpção. Fui mais de curiosidade, para ver o que estava acontecendo nessa “tal de Dataprev” que “anda aparecendo” muito no Jornal Nacional (eu achava que a Dataprev era só da Previdência Social).

No fim, foi uma surpresa agradável, pois além do ótimo palestrante, deu para perceber que as coisas andam progredindo na nossa Previdência Social, graças a uma boa equipe e o uso maciço de software livre na área de servidores e desenvolvimento.

Não vou ficar fazendo muita propaganda do Governo Federal, mas algumas curiosidades que anotei da palestra:

- Eles estão migrando a base de dados para PostgreSQL;

- Usam o Expresso ao  invés de Lotus Notes ou Microsoft Exchanger;

- Tem 1650 servidores distribuídos entre Redhat e Debian;

- 40 mil desktops com OpenOffice;

- Possuem células de desenvolvimento de software livre no Espírito Santo, Mato Grosso do Sul, Pernambuco, Paraná e Rio Grande do Sul, sendo que a principal linguagem de desenvolvimento é o Java.

Eles citaram como motivadores para adotar o software livre:

- Redução de custo em software;

- Desenvolvimento colaborativo;

- Descentralização;

- Incorporação de metodologias, padrões e processos.

Na verdade, nem toda a Dataprev usa ou desenvolve em Software Livre ou de Código Aberto, mas é objetivo “contaminar” as demais áreas de desenvolvimento da empresa pela filosofia do Software Livre.

Uma coisa interessante é que a Dataprev não pretende “libertar” o desktop, mas o objetivo deles é investir em Software Livre na parte mais crítica do negócio deles.

Algo interessante que o Rodrigo disse foi que eles estão trocando a “propaganda” ou o “eu apoio” por linhas de código, ou seja, estão realmente se envolvendo com a comunidade. Entre alguns exemplos de contribuições, eles citaram:

- CACIC: um software de inventário de Hardware e Software, que quase foi extinto, mas foi “ressuscitado” graças a abertura do seu código;

- SGA: sistema de gerenciamento do atendimento, que terá seu código disponível em breve: http://www.dataprev.gov.br/noticias/SGA.htm

- COCAR: para gerenciamento de rede;

- EXPRESSO: um grupoware (com e-mail, agenda, etc);

- MOODLE (ferramenta de e-learning): criando a “Escola da Previdência”.

Em relação ao futuro, eles estão trabalhando junto com o Ginga, solução para a TV Digital, a fim de disponibilizar acesso a serviços públicos a classes mais baixas.

Durante a sessão de perguntas, surgiu uma questão interessante sobre o futuro da Dataprev, caso seja eleito um novo partido. O Rodrigo acredita que isso não vai mudar os avanços da atual administração, pois não importa muito para os “figurões” o que está sendo usado e sim as soluções apresentadas, bem como a qualidade dos serviços e a competência. Ele acredita que até pode haver algum retrocesso no ambiente desktop, mas esse não é o foco da atual administração. Outra questão interessante é que está mudando o atual paradigma da comercialização de software, do padrão de licenciamento para o padrão de prestação de serviços.

Mas será mesmo? Nos primeiros fóruns a PROCERGS estava muito envolvida com Software Livre, inclusive disponibilizando o DIRETO, e hoje em dia, eles “abandonaram” esse apoio à comunidade (se bem que a PROCEMPA poderia ser considerada um bom exemplo, mas infelizmente não pude acompanhar a palestra deles – era no mesmo horário desta – para saber como está o apoio ao Software Livre na atual prefeitura).

Outro fato relevante é que Software Livre não é o “salvador do mundo”. Ele disse que só ter “um pinguim” na máquina não resolve tudo, pois corrupção e “falcatrua” também podem ser feitos com Software Livre. Interessante essa colocação, nunca tinha pensando nisso, mas creio que é uma verdade.

FISL10: W3C

Na sala 11A, um prédio “externo” ao FISL, pude acompanhar a palestra sobre o Futuro da Web segundo o W3C. Aliás, a estrutura desse auditório é muito melhor que a salas tradicionais do FISL, pena que todas não são iguais a essa.

Apesar do título, a palestra foi mais um resumo histórico do padrão Web e o posicionamento do W3C nesse contexto, do que realmente sobre “futuro”.

Quem tiver curiosidade, pode acessar o conteúdo da palestra no link: http://www.w3c.br/palestras/2009/W3CFisl.pdf. Não vou me prender a isso, só gostaria de dizer que este “tal” de Tim Berners-Lee mercia muito mais do que título de “sir”… Na minha opinião ele revolucionou muito mais a informática, do que o “tal” de Bill Gates. Contudo, sir Tim preferiu democratizar a Internet ao invés de ficar rico e infelizmente não teve/tem o mesmo destaque em nossa sociedade.

De futuro mesmo, o que pode ser dito é que estamos saindo de um modelo em que são fornecidos conteúdos com hyperlinks, para um modelo onde será fornecido dados. Aplicações vão interegir entre-si, trocando dados. É o que eles chamam de Web Semântica (Semantic Web).

FISL10: Cache web na Globo.com

Outra palestra que participei hoje foi sobre o Varnish. Mas tive dificuldades em acompanhar tudo, pois a parte introdutória foi em inglês. Mas valeu para saber como a Globo.com “trabalha” com seu conteúdo. Aliás, parece que esse FISL será da Globo.com (pela grade de programação), como já teve anos que o Terra e o UOL foram mais “fortes”.

O interessante é que a Globo.com usa servidores de cache com as páginas estáticas em memória (eles usam servidores com 14GB de RAM – todo o conteúdo estático do portal tem 12GB). Esses servidores não fazem nada de acesso ao disco, sendo que as máquinas não precisam de processadores muito velozes, apenas muita RAM.

Em ocasiões de tráfego intenso, eles chegam a ter 50 milhões de pageviews por dia, um número bastante significativo.

Um fato interessante foi a presença de alguns funcionários do Terra na palestra, inclusive informando que eles também usam uma solução com o Varnish… Parece que o software livre “une” mesmo! Em outros tempos, uma empresa rival estaria fazendo segredo uma para a outra, hehehe

FISL10: Desenvolvimento de Geradores com PHP

A primeira palestra que participei hoje foi sobre frameworks com PHP, com Marcelino Leal. Fiquei um pouco decepcionado, pois pensei que seria um comparativo de soluções, mas no fim foi mais sobre Zend Code Generator (http://pt.wikipedia.org/wiki/Zend_Framework).

O palestrante até chegou a citar outras soluções, como Cake e Symphony, mas não fez nenhum tipo de comparativo, tão pouco citou as características destes outros. Já vi várias soluções nesse sentido, não apenas de PHP, mas no fim, cada um prega as suas “ideologias” e é muito difícil, para quem não está envolvido nisso, determinar qual é o melhor para a sua necessidade.

Mas algo interessante abordado é sobre os riscos de se criar dependência em um gerador de código. Suponhamos que ele seja descontinuado ou algo assim. Com certeza, não seria uma boa notícia para alguém que estivesse mantendo um sistema.

Resumindo: cuidado com suas escolhas!

FISL 2009 – Decepção?

Esse ano, novamente no FISL, agora em sua décima edição, passado o segundo dia (primeiro dia que participei) a impressão que ficou foi um pouco decepcionante.

Já participei de muitas edições do FISL (mas não de todas), desde as suas primeiras edições, quando eram realizadas na UFRGS, mas esse ano estou um pouco desanimado e infelizmente esse primeiro dia não houve nada que indicasse que isso pudesse ser apenas uma má impressão.

Primeiro, o FISL não atingiu, e tudo indica que não irá atingir a marca de 10 mil visitantes, como era o esperado no ano passado. Além disso, parece que a organização relaxou um pouco na organização do foco principal do evento. Exemplo, hoje assisti a 2 palestras em inglês sem tradução simultânea. Parece que apenas a sala 41B tem tradutores. Mas tudo bem, a tradução simultânea nunca foi um ponto forte do FISL…

Alguns palestrantes estavam muito fracos, mas vou evitar de falar disso.

Mas teve melhoras. Como por exemplo, ouvi comentários que não houveram mais as terríveis filas no credenciamento (mas não presenciei isso, porque não compareci no pré-credenciamento e nem no primeiro dia).

Gostei da solução para a retirada dos “brindes”… Agora não é mais no ato do credenciamento, e sim dentro da mostra, o que inclusive faz os visitantes cruzarem toda a mostra de soluções e negócios livres.

Outro ponto-forte é que depois da “choradeira” da organização sobre a falta de apoio local para a realização do FISL 10, parece que até o Presidente da República vai passar por aqui amanhã… Será mesmo? Veremos! Hehehe

Olhando a grade, a impressão que eu fiquei é que esse será conhecido como o “FISL do Ginga” ou o “FISL Federal” (dada a quantidade de palestras de entidades ligada ao governo federal, seja diretamente ou indirentamente). Vamos ver se essa primeira impressão minha se confirma!

Vegetarianismo é “moda”?

Estava navegando pela Internet quando encontrei uma página de um anti-vegetariano revoltado, nos xingando e chamando nossa filosofia de vida como sendo uma “moda”.

Pensando um pouco sobre o assunto, sobre o que o futuro nos reserva, me perguntei: Será que algum dia os animais serão respeitados como seres irmãos?

Resolvi recorrer a Star Trek, relembrando a série e de como isso era tratado, pois para mim o futuro está lá. Inovações como celulares, computadores de mão, etc, foram “inventadas” por Kirk e sua “turma”… Pois bem… E a alimentação do “futuro”?

Varias raças se alimentam de formas diferentes, por exemplo, os Klingons gostam de alimento ainda “vivo”, mas no geral, no século XXIV, todos se utilizam dos replicadores de alimento. Mesmo não sendo abordado de forma direta, parece que no futuro, se não formos todos vegetarianos, pelo menos não nos alimentaremos mais de nenhum ser vivo.

Esse tipo de coisa me dá esperanças e me faz acreditar que algum dia seremos realmente seres mais humanos, no sentido de respeito a vida, mesmo que de seres considerados inferiores, porque no fundo, somos todos feitos da mesma “matriz”.

---

Então, meu amigo, lamento te informar mas vegetarianismo, respeito aos animais, não é moda, é o FUTURO!

Vulnerabilidades XSS: A Saga Continua…

Ainda bestificado com as Lojas Ame… sofrendo de cross site scripting e principalmente de ver uma das minhas caixas postais com o “famoso” e-mail citado no FISL 9 (ainda bem que eu assisti a palestra antes, pois talvez eu fosse um atingido agora – quero dizer, isso se o programa que o e-mail tentou instalar em minha máquina rodasse no Linux, né), decidi procurar um pouco mais sobre o assunto.

Não foi muito difícil encontrar uma site que lista páginas com falha de XSS. E as Lojas Ame. está listada lá desde fevereiro de 2007. Junto com ela, tem mais algumas lojas famosas, como Sub., Sarai… Muitas. Até meu banco está listado. E tem mais alguns outros bancos também.

Mas não são todos. Tem muitos sites famosos que parecem não ter este tipo de vunerabilidade (ou pelo menos não estão listados).

Eu creio que ninguém é perfeito, todos podemos cometer erros, agora não corrigir uma falha e fazer pouco caso disso, só porque é algo client-site é muita falta de consideração destas grandes empresas.

No fim, eu creio (pelo menos no caso das grandes lojas), que a falha está tão difundida devido a todas elas usarem um mesmo sistema (até pq todas elas tem a mesma cara, já notaram isso?), que provavelmente deve ser tercerizado por uma empresa que não se preocupa muito com segurança.

Eu já estou avisando todas as pessoas conhecidas para nunca mais confiar em e-mails destas lojas. Nunca mais eu clico em link do tipo “oferta só via este e-mail”. Agora eu só compro direto pelo site. Até vou ver as ofertas via e-mail, mas não clico mais em comprar. Na verdade, estou pensando até em radicalizar e abolir o e-mail da minha vida! Será que resolve?

Bah, fico pensando nas pessoas que eu dizia “pode comprar pela Internet, não é tão inseguro assim como dizem, se for de lojas de renome”. Acho que vou dizer para elas agora: “lembra quando eu disse que não era tão inseguro? Pois é… É pior do que dizem”!

---

Estava pensando em algo para solucionar isso, haja visto que estas empresas nem se preocupam com nós usuários. Bem que podiam inventar uma extensão para o Firefox que alerte o usuário quando ele entrar em um site que sofre de vulnerabilidades tão banais assim. Quem sabe esta “gente” criasse vergonha na cara com isso.

IPv6 onde “comprar”?

Hoje dei uma pesquisada para ver se meu router (olha a minha esperança!) era compativel com IPv6. Pensei em usar este endereçamento na minha rede interna. Infelizmente, descobri que não é tão fácil encontrar equipamentos compatíveis. Fiquei horas olhando na página da D-Link e até usei a ferramenta de busca, mais nada.

Depois de tentar algumas buscas no Google, acabei encontrando este link, que seria de um site com a lista de equipamentos compatíveis. Parece que as empresas fornecedoras de hardware não estão muito preocupadas com isso ainda, pois não tem muitos modelos listados.

Mas não tenho certeza, pois na página da D-Link de um dos modelos listados, não fala nada de IPv6 e inclusive tem este modelo da Linksys (WRT54G) que não é citado no site, mas tem how-to de como implementar (parece que usa Linux como sistema operacional).

Vou ter que pesquisar mais sobre isso. Pelo jeito não vai ser tão simples assim adotar o padrão, nem que seja para teste.

FISL: Lamentações

Lamento 2 coisas deste FISL…

Primeiro de ter me confundido com os horários e ter perdido a palestra de XP e Scrum. Estava curioso para ver do que exatamente se tratava isso (sei o que é eXtreme Programming, mas não sei o que é o Scrum. Em todo caso, este post no blog de um dos palestrantes parece ser uma boa fonte de informação.

Depois, de ter perdido a palestra da Fernanda Weiden, Introducing Google Summer of Code. Acreditei que ela seria apresentada em inglês, mas por curiosidade tentei assistir pela TV Software Livre. Percebi que a palestra era muito boa, mas quem disse que a TV Software Livre queria funcionar? Por azar, ainda perdi de ver a Fernanda palestrando. Eu tinha visto ela andando pelo Fórum (nem sabia quem ela era) e confesso que fiquei bastante encantado pela moça. Paciência, né.