Security Patch para CFMX e JRun 4

Uma brecha de segurança no parser XML empacotado e usado pelo CFMX/JRun4 (Apache Crimson 1.1) pode tornar o servidor vulnerável a ataques de negação de serviço. Trata-se de uma vulnerabilidade conhecida no Crimson desde o mês passado e já é recorrente.

Vejam detalhes aqui:

Security Patch available for ColdFusion MX and JRun 4.0 Web Services DoS

O patch faz a atualização para a última versão do Crisom 1.3 (de Outubro de 2003).

OBS: se você precisa fazer coisas muito específicas em XML você pode usar o Apache Xerces (um parser XML mais parrudo) ao invés do Crimson. Veja este interessante post de Brandon Purcell.


O dia em que quase virei webdesigner – Nostalgia com Dreamweaver 2

Quem se lembra do Dreamweaver 2? Eu me lembro bem. Foi em 1998 quando desenvolvi o primeiro (e único) site que não precisei digitar uma linha sequer de código HTML… Este site, fruto de uma bolsa de estudos – resultou na compra do meu primeiro software legalizado: uma licença de DW2 que, se não me engano, custava 400 reais (bons tempos de 1U$=1R$)!

Geoestatística Online
(entre outras maluquices que se aprende na Geologia)

Depois disso veio aprendi a programar em CFML (4.0 – cfset #var#=”lalala”) e comprei o CFStudio 4 e nunca mais tive que ficar fazendo letras e coisas escorregarem para cima e para baixo… resta saber se isso foi bom ou ruim! 😉

FLASHBACK (com fundo musical anos 70): HotDog Plus, Netscape 3.0 Gold, uol.web_design, IE 4 “de grátis”, Windows NT Option Pack, Netscape vs. IE, Modem de 33.600, “depois da meia noite só paga um impulso…”, ColdFusion Express, Altavista, STI (o primeiro provedor de horas ilimitadas)…


OT: miserable failure

Pausa para um off-topic interessante:

1) Entre em Google.com;
2) Digite “miserable failure”;
3) Clique em “Estou com sorte” ou “I’m feeling lucky”.

;o)

A propósito: a página de erro 404 do CF_GIGOLÔ sempre foi assim.

[via BBC]


Coral?

Sempre vi pessoas comentando sobre como desenvolver uma aplicação em ColdFusion e vendê-la como um pacote completo, incluindo o servidor, mas sem pagar uma nota preta por isso (preço de uma licença inteira de CFMX da Macromedia). Até hoje o BlueDragon era uma possível resposta para isso. Hoje vi que pode existir uma segunda, nova e bastante interessante alternativa!

Não deixe de conferir o Coral Web Builder.

[via daemonite]


ColdFusion administrator… De novo?

Tem gente que não acredita… E eu não canso de bater na mesma tecla. Alguns talvez ainda não tenham levado um susto dos bons para, quem sabe, acordar… Afinal de contas, uma leitura mínima para se proteger de coisa tão banal não falta.

Até o UOL, no auge de sua força, arrogância e prepotência resolveu fazê-lo, por que tanta gente ainda insiste em deixar o CF Administrator escancarado?

Apenas alguns exemplos:

http://funky.macbbs.com.br/cfide/administrator
http://www.webgeo.net/cfide/administrator/
http://www.porta80.com.br/cfide/administrator/
http://ns1.dwws.com.br/cfide/administrator/
http://linux.infoserra.com.br/cfide/administrator/
http://amidala.allnet.com.br/cfide/administrator
http://dns1.webcalifa.com.br/cfide/administrator/
http://www.intersoft.com.br/cfide/administrator/

Mamão com açúcar, papai-e-mamãe, bico, moleza… chamem do que quiser a verdade é que, durante todo o dia de ontem, um PC cacareco (Pentium 233 MMX – overclocked para impressionantes 266Mhz!!) conectado à minha mini rede que conta com uma saída para a Internet de 512Kbps (cable) e usado como cobaia para as minhas barbáries ficou “brincando” com três servidores/hosts acima citados enquanto eu trabalhava. Ao chegar em casa agora pouco nenhuma surpresa: o softwarezinho de brute-force que usei (encontrado em qualquer site “réquer”) foi capaz de quebrar a senha de dois dos CFAdms listados acima (2 em 3!)… Normalmente eu aviso os sys-admins do problema, mas nem sempre teremos pessoas com esta boa vontade (softwares de brute-force podem ser rodados com proxies anônimos – demora mais, mas uma hora acaba entrando) e os sites em CF do servidor inevitavelmente irão por água abaixo… se o resto não for junto já que muitos “administradores” tem a péssima mania de usar a mesma senha para tudo… a senha do ColdFusion Administrator é igual a do usuário “Administrador” ou “root” do SO. Basta experimentar entrar com o VNC ou, mais comum, o Remote Desktop da MS…

Prestem mais atenção!! O estigma de “inseguro” que o ColdFusion carrega (felizmente isso está mudando rapidamente) é muito em parte por falta de conhecimento nesta plataforma. No Brasil isso é ainda mais notável, dada a ausência de documentação e recursos em português. Espero que isso mude gradativamente, porém de forma rápida e correta (estamos cansados de plágios e “traduções”).

Com relação ao problema do CF Administrator (o mais básico dos básicos), algumas orientações básicas de como se proteger (e proteger os seus clientes caso você seja um ISP) podem ser encontradas aqui e aqui também.

Notem que mais preocupante (e impressionante) nessa história é que estamos falando apenas de hosts que oferecem hospedagem ColdFusion! Estes que deveriam ser mais preocupados com a segurança… (casa de ferreiro espeto de pau?). Existem inúmeros sites feitos em CF que estão abertos do mesmo jeito. Um bom exemplo pode ser visto aqui.

Se você tem um site hospedado em ColdFusion, exija o mínimo aceitável de segurança para suas aplicações e sites, você tem esse direito (nem que para isso você tenha que configurar o servidor do seu ISP à quatro-mãos – isso é mais comum do que você imagina).

Em breve a Locaweb irá oferecer hospedagem ColdFusion MX de forma segura e decente (inclusive com licenças de verdade, o que muitos não tem – não vale a pena mencionar quais). Se rolar (e tudo caminha para) será a primeira hospedagem compartilhada ColdFusion MX confiável e decente que conheço e recomendo no Brasil. Os detalhes eu postarei num futuro breve. Quem sabe assim poderemos contar com uma estrutura de host onde podemos colocar nossas aplicações (e de nossos clientes) com tranqüilidade.

Até lá cuide dos seus sites!


MX Developer’s Journal

O Doulgas da Synex me deu um toque, fui conferir e é realmente imperdível: está disponível para download a versão full do primeiro exemplar do MX Developer’s Journal. São 5Mb e 100 páginas de muita informação. Confira!


A “Fortaleza” da Macromedia

Neste final de semana fui comprar a edição de dezembro da revista WWW.com.br – revista que passei a ler depois dos meus 15 minutos de fama na edição passada – e tive a grata surpresa de encontrar uma entrevista com o barbudão Ben Forta, falando sobre ColdFusion e suas vantagens perante às tecnologias ASP e PHP.

benforta.jpg

A íntegra da reportagem você encontra nas bancas. Vale a pena, a revista é de qualidade e bastante atual, com destaque para hosting providers (uma extensa lista de hostings que oferecem ColdFusion e outras tecnologias) e reportagens variadas e interessantes. O CD que vêm na edição deste mês (que custa R$ 12,90) tem ótimos programas (a maioria freeware) e um longo e extenso tutorial de ActionScript em forma de vídeoaulas.

UPDATE: Ben Forta fez um rápido comentário sobre a entrevista (incluindo o screenshot da capa – para quem quiser comprar na banca) em seu blog.