Sun lança Tiger

A Sun lançou hoje o novo Java (1.5.0 no versionamento antigo, e 5.0 não me perguntem do porquê da mudança de número de versão… deve ser o marketing falando mais alto de novo). Ele traz uma série de novidades e também melhorias. Mas antes de sair por aí instalando o dito cujo, aviso: O CFMX NÃO é compatível com esta versão de JVM, ainda.


George Soros

George Soros é uma pessoa muito importante no contexto mundial. Investidor bilionário e filantropo, é autor de alguns livros, dentre eles “Globalização” (o qual eu recomendo a leitura). E seu site é feito em ColdFusion. 😉


O security bulletin que eu não entendi 2

Dias atrás disse que não tinha entendido o último security bulletin da Macromedia. Hoje eu continuo não entendendo. Os tais “pacotes cumulativos” de correções são na verdade os updaters, lançados uma semana antes (ou mais) deste security bulletin. A minha teoria de que o tal “security bulletin” era apenas uma maneira de se aumentar o número de downloads dos updaters (nada mais) talvez ganhe força com esta notícia: Falhas em produtos Macromedia são corrigidas, que encontrei na home do Terra.

Estratégia errada na minha opinião, mas mesmo assim válida (desde que todos baixem e rodem os ditos cujos!).


min-height

Eu já tive uns problemas com essa propriedade, e utilizava uma “gambiarra”. Esse post veio a calhar.

min-height: fixed


O security bulletin que eu não entendi…

A Macromedia lançou no começo desta tarde dois Security Bulletins envolvendo o ColdFusion MX (todas as versões) e o JRun (todas as versões). Eu resolvi esperar um pouco para postar pois sinceramente não entendi ambos.

No contexto em que foram apresentados: “This is a cumulative patch for JRun…” e “This is a cumulative security patch for ColdFusion MX…” com links para updaters destes dois produtos, não fazem o menor sentido… Alguém por acaso encontrou algum “cumulative patch” mencionado em ambos bulletins?

Posso estar cego ou louco, mas eu não encontrei… Encontrei apenas links para o download do Updater 4 do JRun 4 e do Updater 1 do CFMX 6.1, ambos anunciados há um certo tempo, inclusive aqui no CFGIGOLO (veja os links).

A vulnerabilidade foi retratada (leia mais abaixo), mas em nenhum lugar existe informação explicita, “idiot-proof” sobre como corrigí-la (como é de se esperar e de costume), a não ser um link para o download dos updaters (CFMX e JRun). E justamente aí que me perdi: afinal, os updaters são security patchs ou vice-versa? Ambos updaters são anteriores aos security bulletins, e um security bulletin só tem razão de existir quando ainda não existe correção/proteção para o dito cujo na forma de um updater, service pack, whatever. Isso é prática em qualquer empresa de software e também era prática na Macromedia (pelo menos até hoje). Por que raios a Macromedia resolveu lançar um “security bulletin” que, apesar do que diz o início do texto, não contém nenhum patch de correção, quando a correção para ambos já existe (na forma de um updater)? Será que o número de downloads dos updaters tem sido baixo e eles resolveram espalhar um pouco de terror (no melhor estilo “tiros em columbine”) para que mais pessoas baixassem os ditos cujos?

É mais um reflexo de algo que sempre digo e critico: a Macromedia tem um péssimo site de suporte…

Para entender a vulnerabilidade anunciada: ela só diz respeito a servidores ColdFusion MX e JRun que tiveram um setting específico do connector para o servidor web (IIS, Apache, etc) modificado. Se você por um acaso habilitou o modo “verbose” para fazer um debug mais detalhado (grampo telefônico!) das transações entre webserver e Jrun enginee pode estar suscetível a revelar o código fonte de scripts de outras tecnologias (como ASP e PHP) que por acaso estejam presentes no mesmo website… Este cenário deve ser encontrado em um ou dois clientes no mundo inteiro… 😉

Em resumo:

1) Procure no seu servidor o arquivo chamado “jrun.ini” (ou “jrun_iis6_wildcard.ini” no IIS6) para IIS, “obj.conf” para Netscape, iPlanet e conjugados e o “http.conf” no Apache;
2) Abra-o no bloco de notas (ou qualquer coisa parecida) e veja se o atributo “verbose” está setado como “false” (“verbose=false” e “JRunConfig Verbose false” para Apache);
3) Se estiver em “false” (o que muito provavelmente deverá estar), você não será afetado pela vulnerabilidade;
4) Se estiver em “true”, troque para “false”, salve o arquivo, reinicie o CFMX e também o seu servidor web. Leia novamente o ítem 3 acima. 😉


JFGI

JFGI é o RTFM dos mundos modernos…


Mudanças na lista CF-Brasil

Aos que não conhecem, CF-Brasil é uma tradicional lista de discussão de ColdFusion e assuntos relacionados.

A grande novidade é que mudamos para um servidor próprio (a-há!), não mais utilizando serviços como o YahooGroups ou Topica. Os usuários antigos foram migrados, mas a lista atual não permite, pelo menos ainda, o modo “digest”. Se você conhece algum bom (e que suporte o modo “digest”) list server gratuíto para Windows 2003, dê a sua sugestão em um comentário. Sua ajuda será bem vinda! 🙂

Para se inscrever, mande um e-mail para cf-brasil@coldfusion.org.br com o assunto “subscribe”.


Dois novos technotes

TechNote: ColdFusion MX 6.1: Manually configuring the web server connector for ColdFusion MX Standalone
ColdFusion MX comes with a webserver configuration tool for connecting to external web servers. There may be occasions, however, when the tool doesn’t work properly. Should this happen, the connector can still be configured manually.

TechNote: IIS fails to start after the ColdFusion MX web server connector is installed
After the Macromedia ColdFusion MX web server connector is installed, IIS may fail to start. This TechNote describes how to make the ColdFusion MX service dependent on the IIS web server service in order to avoid the issue.


Datasource tweaks para ColdFusion MX

Simon Horwit, editor do CFDJ, inglês e um figura bastante interessante (viaja todos os anos em peregrinação para Índia, programa em CF, etc…) postou hoje no seu blog uma dica bastante interessante sobre tweak de datasources no CFMX. Eu já tive problemas com datasources que se conectavam a servidores de redes externas através de um link de baixa velocidade (um ADSL por exemplo) e que por isso precisava de mais tempo para esperar o retorno de resposta, entre outras necessidades específicas.

Eu certamente iria me beneficiar com as dicas que podemos encontra aqui:

Optimizing Datasource Pool Connectivity


CFUG-SP – Reunião passada

Enquanto preparamos a próxima reunião do CFUG-SP, disponibilizamos o vídeo com as fotos da última reunião. Confira!