setembro 2010 – UniversoLivre.Net.BR

Por que não se pode dar privilégios especiais a um usuário?

Essa é uma regra que todo administrador de sistemas conhece, faz parte das “boas práticas” de uma rede de computadores e deixa muitos usuários pedavida… Não se dá mais privilégios para um usuário do que o estritamente necessário para seu trabalho. E o motivo é simples: usuário não sabe ler!

É fato, qualquer assistente de suporte já viveu a situação, e não dá pra dizer que o problema é a luminosidade do monitor, pois o usuário não lê qualquer coisa. Incrível como a capacidade de pensar de um usuário limita-se a seguir um passo-a-passo que o analista de suporte prepara. Mesmo nos programas mais básicos, mais amigáveis, mais auto-explicativos, mais simples e com mais instruções possíveis em suas telas, os usuários não lerão, e ligarão para o suporte para perguntar como que fazem aquilo que esrtá na cara deles.

Isso me lembra a célebre frase de Murph: “Se alguma coisa tem duas maneiras de ser feita (uma certa e uma errada), com certeza alguém escolherá a maneira errada”, e eu acrescento ainda: “e não saberá desfazer!” – Afinal, pra que que serve o CTRL+Z, mesmo??? E como faz aquela função que tu já me explicou uma vez? Foram 10, mas tem que explicar mais uma… Será tão difícil ler?

Agora imagina se o administrador de redes dá permissões a mais para um usuário? O que vai acontecer? Que tenha backups contínuos, porque senão, alguma coisa vai se perder!

Twitter sofre ataque XSS

Impressionante como cada tecnologia que se cria logo se usa alguma ferramenta para o mal. Isso acontece em todas as áreas, desde sistemas operacionais até simples APIs de sites de relacionamento.

A última vítima, hoje pela manhã, foi o microblog Twitter, que teve um ataque que partiu do usuário @test_nau e foi confirmado pela equipe do Twitter próximo às 11 horas de hoje (horário de Brasília).

O script de site transverso (Cross-Site Script ou XSS) é uma função bem legal, onde tu podes rodar um script que está hospedado em outro site dentro de teu blog, por exemplo, e é muito usado para divulgações virais utilizando-se sites de relacionamento (como Orkut, Facebook, Twitter e outros). Graças a essa tecnologia, pessoas não precisam ser programadores ou terem acesso direto à hospedagem do site para incluírem funções legais aos seus blogs ou sites, como, por exemplo, meu post sobre o DebianDay deste ano, onde rodo um script hospedado em outro site para fazer os balões festivos do Debian.

No entanto, isso abre uma brecha de segurança, como ocorreu no Twitter, pois o script pode ser malicioso. E no caso no Twitter foi mais fácil, pois grande parte das pessoas utilizam a interface Web para colocar seus “O que estou fazendo?”, logados e com toda a interface bem conhecida à disposição de quem conhece a ferramenta como programador. Criar um script que force os leitores a retwittar tornou-se algo simples.

Mas o ocorrido hoje pela manhã expõe algo muito mais grave, pois esse script inocente que obriga os usuários do Twitter a retwittar uma mensagem poderia, por exemplo, fazer com que a máquina do usuário fosse infectada por algum vírus, gerar mensagens de spam sem controle ou até capturar dados particulares das vítimas.

Felizmente a equipe de desenvolvimento do Twitter agiu rapidamente e acabou com a possibilidade de XSS nos twits. Ganha-se em segurança, mas perde-se parte da capacidade de divulgação viral que tornou essa ferramenta tão conhecida. Como dizia o tio do Piter Parcker: “Grandes poderes requerem grande responsabilidade…”

WordPress e Twitter

Estou testando alguns plugins de Twitter para o WordPress, mas até agora não consegui um que fizesse seu serviço bem. Vou continuar analisando para encontrar um que funcione legal. O TwitterTools na versão 2.4 está bugado e não parece funcionar direito, apesar de ter gente que votou como funcional… Sei lá… pode ser que eu esteja fazendo algo errado.

LTSP5 em Debian Squeeze – Uma solução viável

A nova versão do Debian já está no forno, falta pouco para ser lançada – questão de alguns meses -, e vejo que essa, como as anteriores, será a melhor versão de Debian já lançada.

Pois é, todas as versões de Debian são as melhores já lançadas até seu lançamento, mas essa tem uma questão realmente interessante e muito forte: Velocidade na inicialização da máquina.

Recentemente fui contratado pelo Sindicato dos Bancários para efetuar a instalação e configuração de um sistema LTSP em substituição do existente devido a, entre outras coisas, reduzir drásticamente o tempo de Boot das estações (estavam levando até 3 minutos para inicializar) e alguns problemas com navegador Firefox em um sistema interno.

Bem, realmente a situação era alarmante. Parecia algo bem complicado, mas pensei bem e concluí: por que não? Afinal, conheço bem o sistema, conheço a estrutura do cliente e conheço os limites onde posso levar minhas exigências de carta branca…

Pois peguei o servço e decidi usar o Debian Squeeze, mesmo estando na fase testing, para ver o que daria em um ambiente de testes. Como era para testes preliminares, achei que poderia dar muitos problemas de estabilidade, mas me espantei ao ver como o Squeeze já está estável. E mais, rápido demais.

Nesse teste simples, tirando a questão de virtualização do meio, com Squeeze (o que não é o mais recomendado – usar um S.O. beta para um projeto de tamanha importância), reduziu-se o tempo de Boot das estações a, pasmem, 1 minuto e meio (isso mesmo, quase pela metade do que eles tem em produção), com uma performance de audio e vídeo excelentes.

Depois passei para a fase seguinte: Instalar dentro da virtualização para verificar se o ambiente continua estável, firme e ágil. Tendo isso testado e aprovado, acho que posso deixar a versão Squeeze já em produção (por minha conta e risco, pois sendo um sistema em desenvolvimento, extendi o suporte até 2 meses após o lançamento do Debian Squeeze).

O ambiente mostrou pouquíssima perda de performance. O Boot das estações ficou em pouco mais de 1 minuto e 40 segundos, o que é um tempo razoável perto do que eles tinham, e o tempo de logon não passou dos 30 segundos, ficando um pouco mais rápido que o sistema que eles usam atualmente.

No entanto, nem tudo são flores. O subsistema de utilização de pen-drives e CD-ROM remotos das estações apresenta um pequeno bug, já relatado e bem documentado, e não pude colocar o sistema em produção devido a isso.

No entanto, o sistema está rodando em paralelo ao sistema antigo, atualmente com 4 beta-testers (4 estações tirando proveito das melhorias, mesmo perdendo o uso dos pen-drives) e estou aguardando a correção do bug para atualizar o sistema e definitivamente colocá-lo em produção.

Em suma, o sistema Debian Squeeze já está um ótimo sistema para uso em estações de trabalho (meu computador de casa e meu notebook utilizam-no) e até em alguns servidores de menor complexidade e importância. Agora só faltam algumas correções e BUM, teremos a melhor versão de Debian de todos os tempos!

Neste sábado inicia a preparação do FISL12.

Neste sábado ocorrerá em Porto Alegue o início da organização do 12° Fórum Internacional do Software Livre, que ocorrerá entre os dias 29 de Junho e 2 de Julho de 2011.

Apesar de se ter pouco mais de 2 meses do final do evento deste ano, a Associação SoftwareLivre.Org dará início às tratativas de organização do FISL12 neste final de semana, em sua sede em Porto Alegre, reunindo toda a comissão organizadora do evento em um Seminário de 4 horas de duração.

Nesse período espera-se definir questões importantes para que o FISL12 seja um evento sem igual.

Mais informações em breve.