Sobre o MPSB03-06 Security Patch

Como vocês viram abaixo a Macromedia lançou um patch de correção para uma vulnerabilidade de cross-site scripting (XSS). O que acontecia é que algumas variáveis (attributes.detail e cgi.http_referer) passadas que iam para a página de erro não eram tratados de forma adequada, e permitiam portanto ao atacante passar alguma informação adicional.

O tratamento das supracitadas, assim como de outras variáveis presentes no arquivo genérico de erro (detail.cfm) foram tratados com um simples #XMLFormat()#, transformando as tais “informações adicionais” que um atacante poderia passar. (Por exemplo: > vira >)

Em tempo para quem quiser brincar: a variável #cgi.user_agent# não está circundada por um XMLFormat(). 😉

E não custa dizer novamente: Não deixe o debug habilitado em servidores de acesso público! 🙂


Patch de correção para CFMX

A Macromedia acaba de lançar um pequeno patch de correção para o CFMX 6.0 e 6.1 solucionando uma vulnerabilidade XSS presente em servidores que usem “Site-wide error handler”.

MPSB03-06 Security Patch available for ColdFusion MX/ColdFusion cross-site scripting vulnerability with default error handlers


Evento Locaweb ontem, minhas impressões

O fórum de discussão sobre tecnologias promovido pela locaweb no Renaissance aqui em São Paulo foi um verdadeiro sucesso! Representando o .Net tivemos Marco Santana da Microsoft, representando Java (JSP), João Bolonha, da Borland, PHP com Fernando Lozano, autor de livros e figurinha conhecida da comunidade de desenvolvedores PHP. O ColdFusion, representado por quem vos escreve, não podia estar de fora e fez bonito.

O fórum foi mediado por Marcelo Tas, apresentador do programa Vitrine, da TV Cultura e teve momentos ótimos e tiradas sensacionais, num clima de guerra saudável entre os participantes. O fórum era previsto para durar 2 horas mas extendeu-se para 3 e meia, dado o grande interesse do público presente e o sucesso na dinâmica da mesa redonda. O ColdFusion causou frisson justamente por ser menos conhecido entre os presentes e pelas óbvias qualidades da tecnologia, tanto técnicas quanto econômicas (quebrei, com chave de ouro, o mito de que ASP e PHP é de graça) exaltadas com fervor e paixão junto a um público bastante animado, interessado e receptivo, que não imaginava ser tão simples programar em CFML. Muitas perguntas foram enviadas à mesa e respondidas na medida do possível. Devido ao enorme volume de perguntas (todas muito interessantes) a Locaweb vai abrir um fórum de discussão para tratar destas. Fique de olho no site deles.

Por esta razão arrisco dizer (com toda modéstia) que, das tecnologias participantes, a que mais se destacou foi o ColdFusion, seja pela novidade e atrativos inegáveis como ser multi-plataforma, integração com Flash e ser um aplicativo Java simples e fácil, mas poderoso/robusto ao mesmo tempo, seja por ter ganhado a simpatia logo de cara do mediador, Marcelo Tas, que ficou satisfeitíssimo ao saber que o ColdFusion era a única tecnologia presente com suporte à Mac!

Consegui também manter a calma necessária nos momentos mais “quentes” da discussão, onde o ColdFusion prevaleceu como uma opção nitidamente mais inteligente e sensata sobre as farpas que voavam entre Microsoft e PHP e pela complexidade do Java puro, apoiado pela Borland. Ao conversar com o público depois do evento e também com os organizadores, soube que a impressão que ficou é a de que a Macromedia, com o ColdFusion e o conceito de RIA, está se tornando uma opção extremamente viável e inteligente neste mundo de três gigantes (Java, .Net e OpenSource (PHP)), com as qualidades que todos nós conhecemos, dispensando maiores comentários neste blog.

A Macromedia também foi a única das participantes (além da própria Locaweb) a sortear brindes para a platéia. Sorteamos uma licença do DRK 4, HomeSite 5.5 e camisetas Macromedia, além de alguns CD’s de avaliação de softwares da empresa.

A audiência foi de aproximadamente 500 pessoas, todas desenvolvedores web em sua grande maioria, bastante atentos e com perguntas pertinentes. Um sucesso e uma experiência muitíssimo positiva para o nosso tão querido ColdFusion. Assim que tiver as fotos e o vídeo do evento posto por aqui para que todos possam assistir e ver.

Rio de Janeiro e Belo Horizonte são os próximos!

Este mesmo evento da Locaweb também acontecerá em BH e no Rio. No Rio, o evento será realizado no dia 16/out, no Hotel Copacabana Palace. Marco Antonio Gonçalves, coordenador adjunto do CFUG-Rio, estará participando do debate. E estará sorteando um kit com o Macromedia DRK 3 e 4, oferta do CFUG-Rio e do Programa de Grupos de Usuários da Macromedia.

Inscrições: http://www.locaweb.com.br/encontro

Até a próxima!


Crack para o Flash MX 2004!!

Não demorou muito e já saiu um crack tão esperado para o Flash MX 2004. Esse realmente funciona!

Faça o download clicando aqui – 452Kb.

[via oscar trelles]

ATUALIZAÇÃO:

Muita gente não entendeu, mas o “crack” do Flash MX 2004 é uma brincadeira!! Descobri que outros também embarcaram nesta tiração de sarro, incluido Ben Forta e Marlos Carmo, que tem um blog em português sobre Flash MUITO BOM! Marlos, prometo escrever um post sobre o seu blog em breve.


Flash e JRun na veia, literalmente…

Interessante matéria na Internet Week de ontem:

.Net? Java? No Thanks, We’ll Take Macromedia Instead

Relato de uma empresa chamada Miterm Corporation, do ramo hospitalar, que optou pela dobradinha JRun no back e Flash no front end em detrimento das duas gigantes .Net e Java em uma de suas novas aplicações voltada para médicos.

A reportagem não menciona o Jrun como uma aplicação Java e isso dá uma impressão de que a Macromedia é uma “terceira via” frente ao .net e Java tradicional. De fato, eu tendo a acreditar nisso, mas não como uma terceira via, separada, mas sim uma paralela e muitíssimo arraigada ao Java, como um viabilizador concreto deste último, restrito apenas aos grandes sistemas e misterioso à imensa maioria de seres mortais como nós por sua complexidade notória.

Está claro para muitos (os quais me incluo) que a Macromedia apresenta-se, pela primeira vez de maneira consolidada e realmente competitiva, no mercado de aplicações grandes e pesadas ao lado das grandes do mercado. Foi-se o tempo em que Macromedia era sinônimo apenas de designers descoladinhos e “prafrentex”. Hoje vemos uma nova turma de engenheiros sérios, engravatados com suas HPs no bolso da camisa e óculos fundo de garrafa entrando em cena. Uma mistura bastante interessante!

Qual será a próxima grande empresa a adotar soluções da MM?

[via Christian Cantrell]


Por falar em blogs (2)

E já que estamos falando de blogs, vale a pena citar mais um que descobri agora há pouco. Não tem nada de Macromedia, mas é de um cara que sabe das coisas.

JustOneMoreThing, (aparentemente) blog do Steve Jobs.

[via denniscs]


Por falar em blogs

Hoje tomei conhecimento de mais um blog em português sobre produtos da Macromedia (já são 4 agora). Trata-se do CommunityBlog – http://www.communityblog.com.br, mantido por um grupo de profissionais que trabalha com as ferramentas Macromedia. O blog não dispõe de um feed RSS por isso não está dispónivel no aggregator do CFUG-SP, mas assim que tiver estará por lá.

Sucesso aos autores nesta empreitada!


Feed Reader para blogs e notícias

O número de blogs técnicos tem crescido exponencialmente nos últimos meses. Para os interessados na sua leitura (eu faço isso todas as manhãs e ao final da tarde) é importante centralizar tudo num único local e de preferência usando um feed reader bom e de qualidade. Existem muitos por aí, mas o melhor que já vi (indicação do Fabio Terracini) é o FeedDemon, do mesmo criador do HomeSite e de softwares consagrados como o TopStyle.

Está em fase alpha mas é sólido como rocha, excelente software, não deixem de conferir. Veja aqui alguns screenshots.

http://www.feeddemon.com


Steve Nelson blogado

Steve Nelson, papa do Fusebox lançou ontem seu blog. Não deixe de conferir, já existem posts bem interessantes.

http://steve.secretagents.com/index.cfm?fuseaction=fuseblog.MainPage

Quem foi que disse que blog é o lixo da web?


CFML History

Está disponível no site do CFUG-SP um histórico montado pela Macromedia de mudanças e modificações na sintaxe CFML (tags e funções) desde o ColdFusion 4.01 até a última versão 6.1. O histórico é bem leve (todo em HTML) e simples de ser consultado tanto como auxiliar nas horas de programação como para matar saudade de tags e funções “decapitadas” – ou seria “deprecated”? 🙂 É bastante instrutivo e interessante acompanhar a evolução da linguagem!

Dêm uma olhada e adicionem nos favoritos:

http://www.cfugsp.com.br/CFHistory